Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Saisi par Optical Center, le Conseil d’État rabaisse la sanction de la CNIL

Rien que pour vos yeux
Droit 4 min
Saisi par Optical Center, le Conseil d’État rabaisse la sanction de la CNIL
Crédits : AndreyPopov/iStock

Le Conseil d’État a revu à la baisse la sanction infligée par la CNIL à l’encontre d’Optical Center. La juridiction administrative reproche à l’autorité de ne pas avoir tenu compte de la célérité avec laquelle l’entreprise avait corrigé la faille à l’origine de cette décision.

Cette faille permettait très simplement de prendre connaissance des factures d’autres clients sur Internet. Comment ? En modifiant la variable de l’URL correspondant à sa facture (« id= »), comme l’expliquaient en août 2017 nos confrères de Zataz. Nom, prénom, coordonnées postales, correction ophtalmologique et parfois le numéro de Sécurité sociale faisaient alors partie des données personnelles éventées.  

La CNIL avait été alertée le 28 juillet 2017. Le 31, elle effectuait des vérifications en ligne et contactait le même jour le cybervendeur. Le colmatage fut effectué le 2 août, soit deux jours plus tard. « Une fonctionnalité a été ajoutée afin de s’assurer qu’un client est effectivement connecté à son espace personnel avant de lui fournir les seuls documents le concernant » détaillait la délibération.

Le 7 mai, la CNIL infligeait finalement une sanction de 250 000 euros à l’encontre d’Optical Center, avec diffusion publique de la délibération. La société a toutefois attaqué la décision devant le Conseil d’État, juridiction compétente pour jauger du parfait respect de la loi Informatique et Libertés.

Une mise en demeure préalable non obligatoire

À Optical Center, qui contestait le déroulé de cette procédure, les juges ont réexpliqué dans leur arrêt du 17 avril 2019 que la CNIL pouvait directement s’engager sur la voie de la sanction, sans prendre soin d'adresser une mise en demeure préalable :

« Il résulte de ces dispositions, éclairées par les travaux préparatoires de la loi du 7 octobre 2016, que la formation restreinte de la CNIL peut, sans mise en demeure préalable, sanctionner un responsable de traitement dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d'être régularisés soit qu'ils soient insusceptibles de l'être soit qu'il y ait déjà été remédié ».

Puisque la faille a été dénoncée le 31 juillet pour être colmatée le 2 août, « la formation restreinte de la CNIL a pu légalement (...) engager, sans procéder à une mise en demeure préalable, une procédure de sanction à l'encontre de la société Optical Center ».

Le Conseil d’État a ainsi estimé que c’est à bon droit que la CNIL a caractérisé le manquement aux obligations de sécurité des données personnelles. « L'ensemble des données concernées, dans une base d'au moins 334 769 documents, était donc accessible sans contrôle préalable et sans qu'il soit besoin d'une maîtrise technique particulière ».

Une faille que la société aurait dû prévenir

La haute juridiction relève d’ailleurs que le programme de protection qui promettait de « bannir les activités anormales sur le site » n'a pas anticipé cette faille « en amont de la mise en production de son site internet en décembre 2016 ou en établissant un programme d'audits de sécurité ultérieurs ».

Toutefois, l’action d’Optical Center n’a pas été vaine. L'article 47 de la loi du 6 janvier 1978, en vigueur au moment des faits, soulignait que « le montant de la sanction pécuniaire (…) est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement ».

Une sanction allégée de 50 000 euros 

Préalablement au 25 mai 2018, date d’entrée en application du RGPD, ce montant ne pouvait excéder 3 millions d'euros. Comme dans le nouveau texte, la CNIL devait toutefois tenir compte de plusieurs facteurs pour établir ce montant, comme le caractère intentionnel ou la négligence à l’origine du manquement, les mesures prises par le responsable pour atténuer les dommages subis, son degré de coopération avec la commission…

Bref de la nature, de la gravité, de la durée du problème outre du comportement du responsable.

Sur ce point, le Conseil d’État a considéré que la CNIL n’avait pas pris en compte la forte réactivité de la société, qui, comme expliqué, a corrigé le problème en deux jours : « en retenant une sanction pécuniaire d'un montant de 250 000 euros sans prendre en compte la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée ».

La délibération mentionne que « si la société a fait preuve de réactivité et a effectué les diligences nécessaires auprès de son prestataire, la formation restreinte souligne néanmoins que les services de la CNIL ont pu accéder aux données des clients de la société, cet accès ayant confirmé l’existence du défaut de sécurisation signalé par un tiers ». Mais elle aurait dû plus explicitement souligner que les 250 000 euros infligés avaient été déterminés en tenant compte aussi du critère temporel.

En l'absence de cette précision, le Conseil d’État a finalement ramené la sanction à 200 000 euros, avec obligation pour la CNIL de publier l’arrêt du Conseil d’État.

51 commentaires
Avatar de vizir67 Abonné
Avatar de vizir67vizir67- 23/04/19 à 08:09:11

la CNIL pouvait directement s’engager sur la voie de la sanction
sans prendre soin d'adresser une mise en demeure préalable :

les 'fraudeurs' n'ont qu'à bien-se-tenir !
"et...vlan-->sans avertir" :langue:

Avatar de Jeanprofite Abonné
Avatar de JeanprofiteJeanprofite- 23/04/19 à 08:10:45

Le conseil d'état est bien «gentil» avec les sociétés. Au lieu d'amplifier le montant de l'amende il la réduit. :eeek2:

250000 c'était déjà pas beaucoup, au vu de l'erreur et du nombre de données personnelles accessibles.

Avatar de js2082 INpactien
Avatar de js2082js2082- 23/04/19 à 08:28:36

Jeanprofite a écrit :

Le conseil d'état est bien «gentil» avec les sociétés. Au lieu d'amplifier le montant de l'amende il la réduit. :eeek2:

250000 c'était déjà pas beaucoup, au vu de l'erreur et du nombre de données personnelles accessibles.

Le Conseil d’État n'est pas "gentil": il n'a fait, semble-t-il que vérifier si la CNIL avait bien appliqué la loi au cas d'espèce.

La CNIL a manqué un des critères d'appréciation, ce qui a conduit le Conseil à réduire le montant en conséquence.

S'il faut faire un reproche, il serait plus pertinent de le faire à la CNIL qui a fixé le montant de la sanction.

Avatar de DaCaiD Abonné
Avatar de DaCaiDDaCaiD- 23/04/19 à 08:42:14

50.000€ d'économisés, mais combien dans les poches des avocats?

Avatar de Furanku Abonné
Avatar de FurankuFuranku- 23/04/19 à 08:47:35

Heu... le Conseil d'Etat aurait été "gentil" s'il avait purement et simplement annulé la décision de la CNIL, ou réduit à peau de chagrin le montant.
Là il rappelle juste le fait que la société a réagit rapidement (ce qui reste encore rare) et que donc la peine doit-être amoindrie en conséquence. Ce en rappelant les manquements de la société qui plus est. En quoi cela est "gentil" au juste ?

Chacune des parties est dans son rôle : la CNIL pour l'application de la peine, la société qui se défend et le Conseil d'Etat qui applique un juste milieu équitable pour les deux précédentes parties.

Édité par Furanku le 23/04/2019 à 08:48
Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 23/04/19 à 09:04:13

C'est purement à l'appréciation des différents juges. Il n'y a aucun barême qui dit que "1 semaine de correction c'est 250k€, 2 jours c'est 200k€". La CE a juste amoindri la sanction parce que la CNIL l'a mal détaillé. Si elle avait explicitement indiqué que 250k€ c'était l'amende correspondant à une correction en 2 jours, le CE l'aurait laissé.

Avatar de anonyme_7c080d0b57a30a99451672cfc228f71f INpactien

Tout à fait. Toute décision de justice doit être motivée.

Avatar de anonyme_7c080d0b57a30a99451672cfc228f71f INpactien

ça me fait penser à ma demande de formation que le centre de formation vient de me refuser par l'intermédiaire du site web de Pôle Emploi sous l'unique phrase "Votre candidature n'a pas été retenue" (d'ailleurs, j'attends des précisions, c'est un peu abusif). Heureusement que, contrairement aux autres administrations publiques ou privées, l'administration judiciaire ne punit pas les gens de cette façon laconique.

Avatar de js2082 INpactien
Avatar de js2082js2082- 23/04/19 à 10:00:34

Radithor a écrit :

...
 Heureusement que, contrairement aux autres administrations publiques ou privées, l'administration judiciaire ne punit pas les gens de cette façon laconique.

Je pense que ces 6 derniers mois ont bien démontré le contraire avec les Gilets jaunes, et encore ce week-end avec l'arrestation de deux journalistes.
 

Avatar de Furanku Abonné
Avatar de FurankuFuranku- 23/04/19 à 10:24:14

En effet l'actualité tend à prouver (malheureusement) qu'il y a une Justice à deux vitesses... :craint:

Il n'est plus possible de commenter cette actualité.
Page 1 / 6
  • Introduction
  • Une mise en demeure préalable non obligatoire
  • Une faille que la société aurait dû prévenir
  • Une sanction allégée de 50 000 euros 
S'abonner à partir de 3,75 €