Optical Center n’a pas réussi à faire annuler la sanction de 50 000 euros infligée par la CNIL. Mais l’entreprise a obtenu du Conseil d’État l’anonymisation de la publication de cette sanction d’ici deux ans.
En novembre 2015, la CNIL avait infligé 50 000 euros d’amende à Optical Center. L’autorité reprochait à ce spécialiste des paires de lunettes de ne s’être qu’en partie mis en conformité avec une première mise en demeure adressée un an plus tôt.
Dans ce dossier, tout était parti d’une plainte d’une personne qui « dénonçait la communication par téléphone de son mot de passe par la société ». Le 22 juillet 2014, la CNIL avait procédé à un contrôle plus approfondi de la société dont sa gestion des données personnelles. Elle avait notamment mis à l’index l’« absence de sécurisation de la page d’accueil permettant à l’utilisateur de se connecter à son compte et de la page lui permettant de modifier son mot de passe ». Il fut encore reproché un manquement quant à la sécurité et la confidentialité des données gérées par l’un de ses sous-traitants.
Les sanctions de publication de la CNIL doivent être proportionnées
Malgré une mise en demeure et plusieurs demandes complémentaires, Optical Center ne parvenait pas à répondre aux exigences de la CNIL. Au final, le spécialiste des produits d’optique avait écopé d’une sanction pécuniaire de 50 000 euros et surtout une peine « infamante », la publicité de la décision.
L’entreprise nous avait indiqué à l’époque avoir corrigé l’ensemble de ces problèmes, mais elle avait dans le même temps attaqué cette délibération devant le Conseil d’État. Plusieurs moyens ont été soulevés, aussi bien sur des points formels relatifs que sur le fond du dossier. Tous ont été repoussés le 19 juin dernier, sauf celui relatif au caractère disproportionné de la sanction infligée par la CNIL.
Ce n’est pas tant le montant de la sanction – jugé non excessif par la juridiction – que le moyen relatif à la publicité qui a fait défaut. Cette publicité-sanction est prévue par l’article 46 de la loi du 6 janvier 1978 au terme duquel « la formation restreinte peut rendre publiques les sanctions qu’elle prononce (…) Elle peut également ordonner leur insertion dans des publications, journaux et supports qu’elle désigne aux frais des personnes sanctionnées »
Or, contrairement aux prunes sonnantes et trébuchantes, le législateur n’a pas prévu ici de faire respecter ici le principe de proportionnalité. Mais peu importe : même dans le silence de la loi, pour le Conseil d’État, la CNIL « se trouve nécessairement soumise (…) au respect » d’un tel principe.
Toujours d’après la haute juridiction, « la légalité de cette sanction s’apprécie, notamment, au regard du support de diffusion retenu et, le cas échéant, de la durée pendant laquelle cette publication est accessible de façon libre et continue ». Et celui-ci de considérer qu’au regard de la renommée et l’importance de la société, « la sanction complémentaire contestée, qui vise à renforcer le caractère dissuasif de la sanction principale en lui assurant une publicité à l’égard du public, est justifiée, dans son principe, au regard de la gravité et de la persistance des manquements constatés aux dispositions de la loi du 6 janvier 1978 ».
Une décision qui devra être anonymisée d'ici deux ans
Néanmoins, la décision de la CNIL n’est pas sortie indemne. Son tort ? Ne pas avoir précisé la durée du maintien de cette publication sur son propre site et celui de Légifrance. Le couperet tombe : « en omettant de fixer la durée pendant laquelle la publication de la sanction resterait accessible de manière non anonyme sur ces deux sites, et quand bien même la Commission fait valoir que l’ensemble des décisions de sanctions et de mises en demeure ayant une ancienneté supérieure à deux ans ont été anonymisées sur les deux sites et que toutes le seront à l’expiration de ce délai, la formation restreinte de la CNIL doit être regardée comme ayant infligé une sanction complémentaire excessive, car sans borne temporelle ».
« Il y a lieu, dans les circonstances de l’espèce, de limiter à deux ans le maintien en ligne de la sanction non anonymisée sur les deux sites considérés » concluent souverainement les juges, dont l’arrêt mentionne a priori sans limites de temps, le nom d’Optical Center.
Commentaires (16)
#1
Ah, mais comme ça, on en aura bien parlé avant ;)
La prochaine fois, ils pourraient réfléchir à leur image avant, et faire bosser quelques techos pour arranger les erreurs monumentales qu’ils ont faites avant.
Au final, entre les 50k d’amende, les coûts pour tenter de se défendre et les coûts pour former un recours au conseil d’état… Ils auraient eu un certain budget pour refaire leur site à temps !
Mais ils préfèrent les juristes aux ingénieurs…
#2
« Il y a lieu, dans les circonstances de l’espèce, de limiter à deux ans le maintien en ligne de la sanction non anonymisée sur les deux sites considérés » concluent souverainement les juges, dont l’arrêt mentionne a priori sans limites de temps, le nom d’Optical Center.
Alors que la CNIL précisait qu’elle anonymisait d’elle-même automatiquement au bout de 2 ans
J’adore
#3
C’est quoi l’anonymisation d’une sanction ?
#4
#5
#6
Mais il suffira d’une recherche “condamnation cnil anonymisée” avec une date approximative pour tomber sur un article tel que celui-ci, avec le nom de la société pas anonymisée
" />
Ou bien de passer par internet archive…
#7
Est-ce que la décision s’applique aux articles de presse ? NextInpact sera-t-il tenu d’anonymiser cet article dans deux ans ?
La décision du conseil d’état est publique. Est-ce qu’elle sera également anonymisée ?
#8
#9
Donc en échange de données personnelles et médicale possiblement compromises à vie, la sanction est anonymisée au bout de deux ans ? Elle est où la proportionnalité ?
#10
#11
J’imagine que Optical Center ne pourra pas faire retirer cette news, mais en revanche dans deux ans pourra la faire déréférencer par google non ?
#12
Je suppose quand même qu’Optical Center va souhaiter aller au bout de la démarche.
Ça ne sert à rien de faire anonymiser la décision d’origine (sur les deux site où elle est publiée) si la décision du Conseil d’État d’aujourd’hui ne l’est pas.
#13
y’a rien de plus chiant que de bosser sur des trucs comme ca, pour nous les techos. Des mecs qui n’y connaissent rien, qui ne font aucun effort, qui s’en tamponne le coquillard et qui paye a coups de pelles.
Merci mais non merci!
#14
L’opticien qui ne veut pas être vu ^^
#15
Le problème, c’est de bosser pour des débiles, après, corriger une appli pourrie/ancienne/bonne pour la poubelle, ça fait partie du boulot, d’ailleurs, je suis en plein dedans.
Ce qui est atterrant, c’est la piètre gestion des risques qui retombe sur ceux qui doivent gérer le problème (donc, nous). Ils mettent l’argent dans la poudre aux yeux, et derrière, je ne doute pas qu’au niveau technique, ils se sont fait défoncer pour pas un rond (même si c’était l’appli faite par le stagiaire ou par une une autre société qui a été commandée par la com qui ne s’est pas soucié de contraintes de sécurité) alors qu’ils auraient dû gérer le problème calmement à l’origine comme leur demandait la CNIL, que ça n’aurait pas coûté 50k…
Avec un peu de chance, vu qu’ils gèrent tout à l’envers, ils vont faire peser le coût de la connerie sur le budget de leur DSI qui n’aura plus un rond pour améliorer quoi que ce soit par la suite, parce que quand on fait mal les choses, autant aller jusqu’au bout.
#16
Sur toutes les applis catégoriser pourrie / ancienne, tu as combien de boite qui sont prêt à payer pour effacer la dette technique? Combien de business prêt à lancer un projet de 6 mois à but purement technique / robustesse / sécurité?
Les débiles et les applis péraves sont bien trop souvent liés et j’en reste éloigné le plus possible.