Download PDF

Le Conseil d’Etat vient de se prononcer sur la sanction de la CNIL à l’encontre d’Optical Center du 7 mai 2018 (voir notre fil d’actu RGPD https://www.ip-talk.com/accueil/rgpd/ 07/05/18 CNIL– Condamnation pour Optical Center : 250K€).

Un signalement avait été reçu par la CNIL le 28 juillet 2017 faisant état de données à caractère personnel rendues librement accessibles sur le site de la société Optical Center.

Par un contrôle en ligne le 31 juillet 2017, la CNIL avait constaté un défaut lors des commandes en ligne sur le site web : notamment l’accès possible à des centaines de factures de clients contenant des données personnelles (nom, prénom, adresse postale, données de santé et parfois date de naissance et numéros de sécurité sociale).

Le 2 août 2017, Optical Center déclarait avoir corrigé avec son prestataire le défaut de sécurité affectant son site, ce qui avait été effectivement constaté par la CNIL lors d’un contrôle sur place le 9 août 2017 (adjonction d’une fonctionnalité permettant de sécuriser l’accès aux comptes clients et aux données personnelles les concernant).

Malgré la collaboration active d’Optical Center pour résoudre la faille, la CNIL avait prononcé une sanction de 250K€ ainsi que la publication de sa décision car :

– les données rendues accessibles étaient particulièrement sensibles et nombreuses (plus de 300000 documents) et le nombre de clients touchés important,

– la restriction d’accès aux documents présents sur les espaces personnels est une précaution d’usage essentielle,

– la société connaissait déjà les risques en matière de sécurité informatique (ayant été condamnée en 2015 – à 50K€).

Par requête en date du 25 juillet 2018, Optical Center a contesté cette décision et sollicité du Conseil d’Etat l’annulation de la décision concernant l’amende et sa publication (ou à titre subsidiaire la réduction du montant de l’amende), le prononcé de la clôture de la procédure eu égard la mise en conformité du site litigieux ; et de mettre à la charge de la CNIL la somme de 6K€  au titre de l’article L 761-1 du Code de justice administrative.

Optical Center argumente particulièrement sur le fait qu’elle s’est mise en conformité le 2 août 2017, soit seulement 5 jours après le signalement reçu et 2 jours après le contrôle en ligne opéré par la CNIL.

Au contraire, la CNIL justifie sa décision en établissant que des précautions de sécurité suffisantes auraient pu être mises en place en amont de la mise en production du site internet afin d’éviter toute violation des données à caractère personnel de la part du responsable de traitement, qui constituerait un manquement à ses obligations de sécurité.

Si le Conseil d’état considère, qu’en retenant une sanction pécuniaire de 250K€ à l’encontre d’Optical Center, la CNIL n’a pas pris en compte la célérité avec laquelle Optical Center a apporté les mesures correctrices pour remédier aux manquements précités et accepte de réduire le montant de l’amende, la sanction pécuniaire est réduite de 50K€, soit 200K€, ce qui reste une somme particulièrement importante.

Ce qu’il faut retenir :

Les critères déterminants pour la CNIL dans la détermination des sanctions sont la nature, la gravité et la durée de ces manquements ainsi que le comportement du responsable de traitement à la suite de ce constat.

Lors d’un manquement aux obligations de sécurité et confidentialité des données constaté au cours d’un contrôle en ligne de la CNIL, la mise en conformité rapide et même antérieure au contrôle sur place de la CNIL n’exclut pas le prononcé d’une sanction pécuniaire élevée, même si la CNIL (ici jugée trop sévère) doit tenir compte de la diligence dans la mise en œuvre des moyens de mise en conformité opérés par le contrevenant.

D’une manière générale, il n’y a aucune clémence dès lors que la violation aurait pu être évitée par des moyens de sécurités standards et il est impératif que les entreprises imposent contractuellement à leurs sous-traitants une obligation de résultat concernant le respect des normes et de l’état de l’art en matière de sécurité informatique.

Pour en savoir plus https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2019-04-17/422575
Pour contacter l’un de nos experts RGPD, cliquez ici

Share on LinkedInTweet about this on TwitterShare on Google+Email this to someone