Le Conseil d’État a revu à la baisse la sanction infligée par la CNIL à l’encontre d’Optical Center. La juridiction administrative reproche à l’autorité de ne pas avoir tenu compte de la célérité avec laquelle l’entreprise avait corrigé la faille à l’origine de cette décision.
Cette faille permettait très simplement de prendre connaissance des factures d’autres clients sur Internet. Comment ? En modifiant la variable de l’URL correspondant à sa facture (« id= »), comme l’expliquaient en août 2017 nos confrères de Zataz. Nom, prénom, coordonnées postales, correction ophtalmologique et parfois le numéro de Sécurité sociale faisaient alors partie des données personnelles éventées.
La CNIL avait été alertée le 28 juillet 2017. Le 31, elle effectuait des vérifications en ligne et contactait le même jour le cybervendeur. Le colmatage fut effectué le 2 août, soit deux jours plus tard. « Une fonctionnalité a été ajoutée afin de s’assurer qu’un client est effectivement connecté à son espace personnel avant de lui fournir les seuls documents le concernant » détaillait la délibération.
Le 7 mai, la CNIL infligeait finalement une sanction de 250 000 euros à l’encontre d’Optical Center, avec diffusion publique de la délibération. La société a toutefois attaqué la décision devant le Conseil d’État, juridiction compétente pour jauger du parfait respect de la loi Informatique et Libertés.
Une mise en demeure préalable non obligatoire
À Optical Center, qui contestait le déroulé de cette procédure, les juges ont réexpliqué dans leur arrêt du 17 avril 2019 que la CNIL pouvait directement s’engager sur la voie de la sanction, sans prendre soin d'adresser une mise en demeure préalable :
« Il résulte de ces dispositions, éclairées par les travaux préparatoires de la loi du 7 octobre 2016, que la formation restreinte de la CNIL peut, sans mise en demeure préalable, sanctionner un responsable de traitement dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d'être régularisés soit qu'ils soient insusceptibles de l'être soit qu'il y ait déjà été remédié ».
Puisque la faille a été dénoncée le 31 juillet pour être colmatée le 2 août, « la formation restreinte de la CNIL a pu légalement (...) engager, sans procéder à une mise en demeure préalable, une procédure de sanction à l'encontre de la société Optical Center ».
Le Conseil d’État a ainsi estimé que c’est à bon droit que la CNIL a caractérisé le manquement aux obligations de sécurité des données personnelles. « L'ensemble des données concernées, dans une base d'au moins 334 769 documents, était donc accessible sans contrôle préalable et sans qu'il soit besoin d'une maîtrise technique particulière ».
Une faille que la société aurait dû prévenir
La haute juridiction relève d’ailleurs que le programme de protection qui promettait de « bannir les activités anormales sur le site » n'a pas anticipé cette faille « en amont de la mise en production de son site internet en décembre 2016 ou en établissant un programme d'audits de sécurité ultérieurs ».
Toutefois, l’action d’Optical Center n’a pas été vaine. L'article 47 de la loi du 6 janvier 1978, en vigueur au moment des faits, soulignait que « le montant de la sanction pécuniaire (…) est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement ».
Une sanction allégée de 50 000 euros
Préalablement au 25 mai 2018, date d’entrée en application du RGPD, ce montant ne pouvait excéder 3 millions d'euros. Comme dans le nouveau texte, la CNIL devait toutefois tenir compte de plusieurs facteurs pour établir ce montant, comme le caractère intentionnel ou la négligence à l’origine du manquement, les mesures prises par le responsable pour atténuer les dommages subis, son degré de coopération avec la commission…
Bref de la nature, de la gravité, de la durée du problème outre du comportement du responsable.
Sur ce point, le Conseil d’État a considéré que la CNIL n’avait pas pris en compte la forte réactivité de la société, qui, comme expliqué, a corrigé le problème en deux jours : « en retenant une sanction pécuniaire d'un montant de 250 000 euros sans prendre en compte la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée ».
La délibération mentionne que « si la société a fait preuve de réactivité et a effectué les diligences nécessaires auprès de son prestataire, la formation restreinte souligne néanmoins que les services de la CNIL ont pu accéder aux données des clients de la société, cet accès ayant confirmé l’existence du défaut de sécurisation signalé par un tiers ». Mais elle aurait dû plus explicitement souligner que les 250 000 euros infligés avaient été déterminés en tenant compte aussi du critère temporel.
En l'absence de cette précision, le Conseil d’État a finalement ramené la sanction à 200 000 euros, avec obligation pour la CNIL de publier l’arrêt du Conseil d’État.
