La sanction infligée en 2021 n’avait pas été publiée par la CNIL, mais Optical Center a jugé opportun de contre-attaquer au Conseil d’État. Une réaction qui a révélé la décision initiale, motifs compris. Un risque d’effet Streisand où l’opticien voit sa requête rejetée, après avoir mis en cause l’impartialité du rapporteur.
Inutile de chercher sur Légifrance ou le site de la CNIL : la décision prise par la CNIL en 2021 n’a jamais été publiée, comme le permet l’une des facultés offertes par le RGPD aux autorités de contrôle.
Ce 26 avril, un contentieux ouvert par Optical Center au Conseil d’État a néanmoins fait sortir du bois cette décision du 6 janvier 2021. En lisant l’arrêt, on apprend que deux ans plus tôt, Optical Center avait signalé à la CNIL une attaque informatique visant son site.
Une attaque accompagnée de plusieurs dépôts de plaintes de clients (pour un motif non précisé par l'arrêt). Entre février et mai 2019, la CNIL avait procédé dans la foulée à plusieurs contrôles, notamment sur place, pour dénicher plusieurs indélicatesses avec l’article 12 du RGPD, relatif au droit d’accès et au droit d’opposition et surtout à l’article 32, portant sur l’obligation de sécurité des traitements de données à caractère personnel.
La lecture de la décision du Conseil d’État vaut le détour.