Le Conseil d’Etat réduit la sanction de la CNIL à l’encontre d’Optical Center

Le 17 avril 2019, le Conseil d’Etat a rendu une décision confirmant la sanction prononcée par la CNIL à l’encontre de la société Optical Center mais réduisant son montant en raison de son caractère disproportionné.

Une sanction pécuniaire prononcée par la CNIL doit notamment tenir compte du comportement du responsable de traitement suite au constat du manquement de ses obligations. En ne tenant pas compte de la célérité avec laquelle la société Optical Center a remédié aux manquements qui lui ont été reprochés, le Conseil d’Etat a considéré que la sanction infligée par la CNIL avait un caractère disproportionné et en a donc réduit le montant.

Suite à un signalement reçu par la Commission nationale de l’informatique et des libertés (CNIL) en juillet 2017, faisant état de données personnelles qui auraient été rendues librement accessibles sur le site Internet de la société Optical Center, la CNIL a diligenté une enquête.

Dans le cadre de cette enquête, la CNIL a réalisé une mission de contrôle en ligne du site internet de la société – au cours de laquelle elle a effectivement constaté que des données étaient librement accessibles sur le site internet – ainsi qu’une mission de contrôle sur place, au cours de laquelle la CNIL a constaté que l’accès aux données avait cessé.

Il résultait de l’instruction de la CNIL un manquement grave à son obligation de sécurité par Optical Center. A l’issue d’une procédure contradictoire, la CNIL a alors rendu une délibération le 7 mai 2018 par laquelle elle a prononcé à l’encontre de cette société une sanction pécuniaire d’un montant de 250 000 € et a décidé de rendre publique sa délibération pendant une durée de deux ans.

Pour prononcer sa sanction, la CNIL a notamment tenu compte des éléments suivants :

• le manquement à l’obligation de sécurité relevait de l’absence de mesures élémentaires de sécurité et non complexes ;
• l’ampleur du défaut de sécurité était importante car plus de 330 000 documents avaient été rendus accessibles, en ce compris des données sensibles telles que des données de santé et des numéros NIR ;
• bien que la société avait fait preuve de réactivité et avait effectué des diligences nécessaires auprès de son prestataire pour remédier aux manquements, la CNIL avait néanmoins souligné le fait que ses services internes avaient pu accéder aux données des clients de la société lors de la mission de contrôle en ligne, ce qui caractérisait bien le manquement.

C’est dans ce contexte que par une requête en date du 25 juillet 2018, la société Optical Center a saisi le Conseil d’État aux fins d’annuler la délibération de la CNIL et, à titre subsidiaire, de réduire significativement le montant de la sanction pécuniaire.

Le Conseil d’État a rappelé qu’il résulte des dispositions de l’article 45 de la loi informatique et libertés que la formation restreinte de la CNIL peut sanctionner un responsable de traitement, dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d’être régularisés, sans mise en demeure préalable.

Partant, dès lors que la société Optical Center avait mis en place des mesures correctrices, le manquement aux obligations de sécurité constaté par la CNIL lors de son contrôle sur place n’était plus susceptible de faire l’objet d’une régularisation.

La CNIL pouvait donc légalement engager une procédure de sanction pécuniaire à l’encontre de la société Optical Center sans procéder à une quelconque mise en demeure préalable.

Le Conseil d’État a par ailleurs relevé que la mise en conformité du site n’a été réalisée par Optical Center qu’à la suite de l’intervention de la CNIL qui a porté à la connaissance de la société l’existence du défaut de sécurité. Le site internet de la société n’intégrait aucune fonctionnalité permettant de vérifier l’authentification des clients à leur espace personnel.

Le Conseil d’État a en outre souligné le fait que la société n’avait pris aucune précaution de sécurité en amont de la mise en production de son site internet.

Dans ces conditions, le Conseil d’État a confirmé la décision de la CNIL en indiquant que c’est un bon droit que la CNIL a caractérisé l’existence du manquement aux obligations de sécurité.

Concernant le montant de cette sanction, le Conseil d’État a rappelé les dispositions de l’article 47 de la loi informatique et libertés qui prévoient qu’une sanction pécuniaire doit être proportionnée à la gravité du manquement commis et aux avantages tirés de ce manquement.

Dès lors, lorsqu’elle constate des manquements à l’obligation d’assurer la sécurité et la confidentialité des données, il appartient à la CNIL pour prononcer une sanction, de tenir compte de la nature, de la gravité et de la durée de ces manquements mais également du comportement du responsable de traitement suite à ce constat.

Considérant que la CNIL a retenu une sanction pécuniaire d’un montant de 250 000 € sans tenir compte de la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés, la sanction infligée est disproportionnée.

C’est dans ce contexte que le Conseil d’État a décidé de réduire le montant de la sanction et de la ramener à un montant de 200 000 €.

A rapprocher : Articles 45 et 47 de la loi informatique et libertés