Sanction de la CNIL sans mise en demeure préalable confirmée par le Conseil d’Etat

10 juin 2019

Le 17 avril dernier, le Conseil d’Etat a rendu un arrêt par lequel il a confirmé une sanction pécuniaire infligée par la formation restreinte de la CNIL sans mise en demeure préalable à une association ayant manqué à son obligation de sécurité.

La formation restreinte de la CNIL avait prononcé, en juin 2018, une sanction sans mise en demeure préalable, de 75 000 euros, assortie d’une mesure de publicité de 2 ans, à l’encontre de l’Association pour le Développement des Foyers (ADEF) pour avoir insuffisamment protégé les données des utilisateurs de son site internet.

L’Association a formé un recours devant le Conseil d’Etat afin d’obtenir l’annulation de cette décision.

Le Conseil d’Etat, pour rejeter la requête de l’ADEF, a relevé les trois éléments suivants :

1. S’agissant de l’absence de mise en demeure préalable à la sanction :

L’article 45 de la Loi « Informatique et libertés » prévoit notamment que, « […] Lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure, la formation restreinte peut prononcer sans mise en demeure préalable et après une procédure contradictoire, les sanctions prévues au présent I ».

En l’espèce, le Conseil d’Etat a constaté qu’à la suite de la mise en place de mesures correctrices par l’ADEF, le manquement aux obligations de sécurité avait cessé et il n’était dès lors plus possible de faire l’objet d’une régularisation. Le Conseil d’Etat valide donc la sanction sans mise en demeure préalable.

2. S’agissant du montant de la sanction pécuniaire :

L’article 47 de la Loi « Informatique et libertés » précise les critères permettant de fixer le montant d’une sanction pécuniaire. Notamment, « Celui-ci doit être proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. »

Le Conseil d’Etat a ainsi relevé que :

  • le manquement résultait d’un défaut de sécurité du formulaire en ligne de demande de logement qui permettait par simple modification de l’URL d’accéder aux documents téléchargés par les demandeurs de logement ;
  • les documents en question (bulletin de paie, avis d’imposition, justificatifs d’identité…) contenaient des données à caractère personnel.

Le Conseil d’Etat a estimé que la sanction infligée (75 000 euros) n’était pas disproportionnée eu égard :

  • à la gravité du manquement, qu’il aurait été possible de prévenir par des mesures simples de sécurité, comme l’occultation des chemins d’accès aux dossiers enregistrés ou l’authentification des utilisateurs du traitement ;
  • aux moyens importants dont dispose l’association ;
  • au délai avec lequel elle a apporté les mesures correctrices pour remédier au manquement.

3. S’agissant de la mesure de publicité :

Le Conseil d’Etat a rappelé que la sanction complémentaire de publication doit respecter le principe de proportionnalité et que la légalité de cette sanction s’apprécie au regard du support de diffusion retenu et, le cas échéant, de la durée pendant laquelle cette publication est accessible de façon libre et continue.

Le Conseil d’Etat a relevé que la publication d’une sanction financière à pour intérêt de présenter un caractère dissuasif et un caractère informatif pour les utilisateurs du traitement concerné des risques auxquels ils ont été confrontés.

Compte tenu de cet intérêt, le Conseil d’Etat a estimé la sanction complémentaire de publication pendant 2 ans justifiée, tant au regard de la gravité du manquement sanctionné que de la quantité des données à caractère personnel concernées.

Voir la décision du Conseil d’Etat : https://www.legifrance.gouv.fr/affichJuriAdmin.do?&idTexte=CETATEXT000038388017

Références de la décision : CE 10eme-9eme chambre 17 avril 2019

DERRIENNIC ASSOCIES

Tags: , , , ,