La sanction infligée en 2021 n’avait pas été publiée par la CNIL, mais Optical Center a jugé opportun de contre-attaquer au Conseil d’État. Une réaction qui a révélé la décision initiale, motifs compris. Un risque d’effet Streisand où l’opticien voit sa requête rejetée, après avoir mis en cause l’impartialité du rapporteur.
Inutile de chercher sur Légifrance ou le site de la CNIL : la décision prise par la CNIL en 2021 n’a jamais été publiée, comme le permet l’une des facultés offertes par le RGPD aux autorités de contrôle.
Ce 26 avril, un contentieux ouvert par Optical Center au Conseil d’État a néanmoins fait sortir du bois cette décision du 6 janvier 2021. En lisant l’arrêt, on apprend que deux ans plus tôt, Optical Center avait signalé à la CNIL une attaque informatique visant son site.
Une attaque accompagnée de plusieurs dépôts de plaintes de clients (pour un motif non précisé par l'arrêt). Entre février et mai 2019, la CNIL avait procédé dans la foulée à plusieurs contrôles, notamment sur place, pour dénicher plusieurs indélicatesses avec l’article 12 du RGPD, relatif au droit d’accès et au droit d’opposition et surtout à l’article 32, portant sur l’obligation de sécurité des traitements de données à caractère personnel.
La lecture de la décision du Conseil d’État vaut le détour.
Violation de données de 200 000 clients européens
Le RGPD exige des responsables de traitement la mise en œuvre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », bien entendu en l’état de l’art et du contexte (« compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques »).
Pour le cas présent, la faille à l’origine du signalement par Optical Center a entraîné « la violation des données de près de 200 000 clients européens », relate avec un luxe de détails le Conseil d’État. Et son instruction l’assure, cette défaillance « est la conséquence directe de l'absence de mise en œuvre par la société Optical Center d'un contrôle régulier sur les mesures techniques et organisationnelles prises par son sous-traitant chargé d'assurer la sécurité de son site web ».
On apprend ainsi qu' « aucun document produit » n’a permis de « justifier de la mise à jour régulière des différents composants logiciels du site ». Ce n’est pas tout, puisqu’est épinglé un « manque de robustesse de la politique de mots de passe de la société eu égard aux catégories de données traitées qui incluent notamment le numéro de sécurité sociale de ses clients ». Cette défaillance « a accru l'exposition de son système à un risque d'attaque informatique ».
Autre problème pris en compte par la CNIL : les adresses électroniques placardées sur le site web de la société « destinées à recueillir les demandes relatives à l'exercice des droits conférés à la personne » étaient tout simplement « erronées ». Le Conseil d’État relève que le spécialiste des lunettes a mis 6 mois pour réparer ce « dysfonctionnement », et encore, « postérieurement au contrôle diligenté par les services de la CNIL ».
La mise en œuvre de ces droits n’était pas davantage simplifiée en raison d'une autre caractéristique elle aussi mise en cause par l’autorité : cette « procédure d'exercice de ces mêmes droits dans le cadre des opérations de prospection commerciale effectuées par voie postale par un prestataire de la société Optical Center ne permettait pas de faciliter les démarches des personnes concernées, en l'absence de transmission directe des demandes de droit d'accès du responsable de traitement à son prestataire ».
Quand Optical Center scrute le compte Facebook du rapporteur
Optical Center a malgré tout tenté de désamorcer les problèmes en réclamant l’annulation de toute la procédure ou à tout le moins une réduction de la sanction, jugeant celle-ci disproportionnée.
Elle a aussi jugé opportun de se focaliser sur les propos (non détaillés) du rapporteur de la Commission sur son compte Facebook personnel. Pour la société, l’intéressé aurait manqué « à ses devoirs d'impartialité et d'indépendance, avec pour conséquence que cette entreprise s'est vue infliger une lourde sanction financière ». Elle a même déposé une question préjudicielle, non sans suggérer avoir fait l’objet d’une procédure inéquitable.
Les arguments n’ont pas prospéré devant le Conseil d’État. Certes, « les sanctions infligées par la formation restreinte de la CNIL » s’appuient sur la base d’un rapport établi par l'un des membres de la CNIL, cependant « il résulte de l'instruction que ni les prises de position politiques exprimées par M. Pellegrini, rapporteur désigné par la CNIL, sur son compte Facebook, librement accessible, ni le fait qu'il ait déjà été désigné comme rapporteur d'une précédente procédure de sanction contre la société Optical Center, ne révèlent, dans les circonstances de l'espèce, un parti pris défavorable à cette dernière ».
C’est sans doute une première, certes vaine, dans l’histoire des délibérations où une société épinglée par la CNIL scrute les comptes des réseaux sociaux d’un rapporteur pour mettre en doute son impartialité, et le Conseil d’État jauge ces sorties publiques.
Une sanction de 250 000 euros validée par le Conseil d’État
Sans surprise, la juridiction confirme que la présidente de la CNIL avait la possibilité de saisir directement la formation restreinte sans mettre préalablement en demeure la société, comme la loi de 1978 modifiée l’y autorise, mais que contestait la société.
Elle confirme tout autant le montant de la sanction infligée : si la société n’a « pas commis intentionnellement les manquements reprochés et avait activement coopéré avec ses services, elle a néanmoins méconnu deux obligations élémentaires en matière de sécurité informatique et a fait preuve d'une négligence durable s'agissant de la protection des droits des personnes. »
La sanction est bien à la hauteur des problèmes découverts par la CNIL et de la situation de l’entreprise : « ces manquements se sont traduits par la violation des données à caractère personnel de plus de 200 000 personnes et le dysfonctionnement du dispositif permettant l'exercice du droit d'accès de plusieurs centaines de milliers de prospects ou clients, et que les catégories de données qui ont fait l'objet de l'attaque informatique révèlent des informations personnelles telles que les nom, prénom, adresse, numéro de téléphone, adresse électronique, date de naissance, et, pour 23 000 d'entre elles, le numéro de sécurité sociale ».
La CNIL et le Conseil d’État se sont souvenus qu’Optical Center « avait été sanctionnée à deux reprises au cours des cinq dernières années pour des manquements à la sécurité des données à caractère personnel et un manquement lié à la sous-traitance de ses traitements de données ».
La société avait ainsi déjà été épinglée en 2015 puis en 2018 avec respectivement une amende de 50 000 euros puis de 250 000 euros, ramenée à 200 000 euros par le Conseil d’État.
« La formation restreinte de la CNIL n'a pas, en retenant un montant de 250 000 euros, infligé une amende disproportionnée à la société Optical Center » conclut cette fois le Conseil d’État. Il a pris en compte le chiffre d'affaires de la société, 202 millions d'euros en 2017, quand le RGPD fixe le plafond des sanctions jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires.
