CONTACT

Le Conseil d’État moins sévère que la Cnil ?

06 mai 2019 | Derriennic Associés|

Par arrêt du 17 avril 2019, le Conseil d’Etat a ramené le montant de la sanction prononcée par la CNIL à l’encontre d’OPTICAL CENTER, pour manquement à son obligation de protection des données à caractère personnel, de 250.000 à 200.000 €.

Pour rappel, OPITCAL CENTER avait été condamnée par la CNIL à une amende de 250.000 € (http://derriennic.com/amende-de-250-000-euros-pour-optical-center/), en raison d’un défaut de sécurisation permettant d’accéder aux documents des clients d’OPTICAL CENTER en modifiant le paramètre ID relatif à l’identifiant de la facture, lequel était parfaitement visible au sein de l’URL affichée dans la barre d’adresse du navigateur.

OPTICAL CENTER a demandé au Conseil d’Etat, par une requête et un mémoire en réplique, d’annuler la délibération par laquelle la CNIL l’avait condamnée ou, à défaut, de réduire significativement le montant de la sanction pécuniaire.

Dans cette décision, le Conseil d’Etat a rappelé qu’au titre de l’article 34 de la loi du 6 janvier 1978, il incombe au responsable du traitement de prendre toutes les précautions utiles afin de préserver la sécurité des données.

Le Conseil d’Etat a constaté, à ce titre, que le site internet d’OPTICAL CENTER « n’intégrait pas de fonctionnalité permettant de vérifier qu’un client s’était bien authentifié à son espace personnel avant de lui donner accès à ses factures et bons de commande » et, qu’en conséquence, « c’est à bon droit que la formation restreinte de la CNIL a caractérisé l’existence d’un manquement aux obligations de sécurité prévues par l’article 34 précité ».

En revanche, la haute juridiction a estimé que la CNIL, en raison du comportement d’OPTICAL CENTER et notamment de la célérité avec laquelle cette dernière avait apporté les mesures correctrices de nature à remédier aux manquements, aurait dû lui infliger une sanction plus proportionnée :

« Lorsque la CNIL constate des manquements à l’obligation d’assurer la sécurité et la confidentialité des données, il lui appartient, pour prononcer une sanction sous le contrôle du juge, de tenir compte de la nature, de la gravité et de la durée de ces manquements, mais aussi du comportement du responsable du traitement à la suite de ce constat. En retenant une sanction pécuniaire d’un montant de 250 000 euros sans prendre en compte la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée. »

En raison de ce qui précède, le Conseil d’Etat a ramené la sanction prononcée par la CNIL à un montant de 200.000 euros.