webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Le Conseil d’Etat réduit la sanction de la CNIL à l’encontre d’Optical Center

CE, 10ème - 9ème ch. réunies, 17 avril 2019, Optical Center / Cnil

Le 17 avril 2019, le Conseil d’Etat a rendu une décision confirmant la sanction prononcée par la CNIL à l’encontre de la société Optical Center mais réduisant son montant en raison de son caractère disproportionné.



Une sanction pécuniaire prononcée par la CNIL doit notamment tenir compte du comportement du responsable de traitement suite au constat du manquement de ses obligations. En ne tenant pas compte de la célérité avec laquelle la société Optical Center a remédié aux manquements qui lui ont été reprochés, le Conseil d’Etat a considéré que la sanction infligée par la CNIL avait un caractère disproportionné et en a donc réduit le montant.

Suite à un signalement reçu par la Commission nationale de l’informatique et des libertés (CNIL) en juillet 2017, faisant état de données personnelles qui auraient été rendues librement accessibles sur le site Internet de la société Optical Center, la CNIL a diligenté une enquête.

Dans le cadre de cette enquête, la CNIL a réalisé une mission de contrôle en ligne du site internet de la société – au cours de laquelle elle a effectivement constaté que des données étaient librement accessibles sur le site internet – ainsi qu’une mission de contrôle sur place, au cours de laquelle la CNIL a constaté que l’accès aux données avait cessé.

Il résultait de l’instruction de la CNIL un manquement grave à son obligation de sécurité par Optical Center. A l’issue d’une procédure contradictoire, la CNIL a alors rendu une délibération le 7 mai 2018 par laquelle elle a prononcé à l’encontre de cette société une sanction pécuniaire d’un montant de 250 000 € et a décidé de rendre publique sa délibération pendant une durée de deux ans.

Pour prononcer sa sanction, la CNIL a notamment tenu compte des éléments suivants :

  • le manquement à l’obligation de sécurité relevait de l’absence de mesures élémentaires de sécurité et non complexes ;
  • l’ampleur du défaut de sécurité était importante car plus de 330 000 documents avaient été rendus accessibles, en ce compris des données sensibles telles que des données de santé et des numéros NIR ;
  • bien que la société avait fait preuve de réactivité et avait effectué des diligences nécessaires auprès de son prestataire pour remédier aux manquements, la CNIL avait néanmoins souligné le fait que ses services internes avaient pu accéder aux données des clients de la société lors de la mission de contrôle en ligne, ce qui caractérisait bien le manquement.

C’est dans ce contexte que par une requête en date du 25 juillet 2018, la société Optical Center a saisi le Conseil d’État aux fins d’annuler la délibération de la CNIL et, à titre subsidiaire, de réduire significativement le montant de la sanction pécuniaire.

Le Conseil d’État a rappelé qu’il résulte des dispositions de l’article 45 de la loi informatique et libertés que la formation restreinte de la CNIL peut sanctionner un responsable de traitement, dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d’être régularisés, sans mise en demeure préalable.

Partant, dès lors que la société Optical Center avait mis en place des mesures correctrices, le manquement aux obligations de sécurité constaté par la CNIL lors de son contrôle sur place n’était plus susceptible de faire l’objet d’une régularisation.

La CNIL pouvait donc légalement engager une procédure de sanction pécuniaire à l’encontre de la société Optical Center sans procéder à une quelconque mise en demeure préalable.

Le Conseil d’État a par ailleurs relevé que la mise en conformité du site n’a été réalisée par Optical Center qu’à la suite de l’intervention de la CNIL qui a porté à la connaissance de la société l’existence du défaut de sécurité. Le site internet de la société n’intégrait aucune fonctionnalité permettant de vérifier l’authentification des clients à leur espace personnel.

Le Conseil d’État a en outre souligné le fait que la société n’avait pris aucune précaution de sécurité en amont de la mise en production de son site internet.

Dans ces conditions, le Conseil d’État a confirmé la décision de la CNIL en indiquant que c’est un bon droit que la CNIL a caractérisé l’existence du manquement aux obligations de sécurité.

Concernant le montant de cette sanction, le Conseil d’État a rappelé les dispositions de l’article 47 de la loi informatique et libertés qui prévoient qu’une sanction pécuniaire doit être proportionnée à la gravité du manquement commis et aux avantages tirés de ce manquement.

Dès lors, lorsqu’elle constate des manquements à l’obligation d’assurer la sécurité et la confidentialité des données, il appartient à la CNIL pour prononcer une sanction, de tenir compte de la nature, de la gravité et de la durée de ces manquements mais également du comportement du responsable de traitement suite à ce constat.

Considérant que la CNIL a retenu une sanction pécuniaire d’un montant de 250 000 € sans tenir compte de la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés, la sanction infligée est disproportionnée.

C’est dans ce contexte que le Conseil d’État a décidé de réduire le montant de la sanction et de la ramener à un montant de 200 000 €.

A rapprocher : Articles 45 et 47 de la loi informatique et libertés

VOIR AUSSI

Interview de Stéphane BAÏKOFF sur le RGPD par France 3 Pays de la Loire

Emission "9h50 le Matin" du 28 mai 2018

- Vu : 1948

Interview vidéo de Stéphane BAÏKOFF sur le RGPD, en direct du plateau de "9h50 le Matin" sur France 3 Pays de la Loire.

> Lire la suite

Data : L’amélioration de ses services en ligne nécessite une base légale spécifique !

Décision de la CNIL n°MED-2017-075 du 27 novembre 2017

- Vu : 1057

La formation restreinte de la CNIL a prononcé une mise en demeure publique à l’encontre de la société WHATSAPP rappelant que lorsqu’il existe plusieurs finalités à un traitement qui nécessitent un consentement de la personne concernée, celui-ci doit être recueilli de manière spécifique...

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 7163
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 6344
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 5037
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Action en contrefaçon de droit d’auteur et preuve de la qualité d’auteur
16 novembre 2018 - Vu : 4354
La recevabilité de l’action en contrefaçon de droit d’auteur est subordonnée à la preuve de la qualité d’auteur ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©