• Données personnelles

    par brm_admin

    Le Conseil d’Etat valide la sanction à l’encontre d’Optical Center, mais il en diminue le montant

    Par une délibération du 7 mai 2018, la formation restreinte de la CNIL avait prononcé une sanction à l’encontre de la société Optical Center. Le grief ? Manquement de la société à son obligation de sécurité et de confidentialité des données personnelles.

    En effet, un défaut d’authentification sur le site internet de la société permettait d’accéder librement aux quelques 334 000 documents contenus dans sa base de données, par une simple modification de l’adresse URL. Ce sont ainsi des centaines de factures qui étaient rendues accessibles, ainsi que les coordonnées, données de santé (correction ophtalmologique) ou encore numéros d’identification au répertoire national (NIR) qu’elles contenaient. La CNIL relevait alors dans sa décision  l’absence de mesures élémentaires de sécurité, le caractère directement identifiant et la sensibilité particulière des données, le nombre important de clients et de documents concernés par la faille, ainsi qu’indirectement, l’absence de techniques de « Data Loss Prevention[1] », pour prononcer à l’encontre de la société une sanction à hauteur de 250 000€, sans mise en demeure préalable.

    Saisi d’un recours en annulation par la société en cause, le Conseil d’Etat est revenu sur la délibération de la CNIL. S’il a validé la condamnation de la société au paiement d’une amende administrative, il en a cependant jugé le montant disproportionné au regard de « la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés ». Il est ainsi reproché à la CNIL de ne pas avoir suffisamment tenu compte du comportement du responsable de traitement dans le traitement de l’incident, conformément à l’article 47 de la loi Informatique & Libertés dans sa rédaction applicable au moment des faits.

    C’est sur cette appréciation que le Conseil d’Etat réduit la sanction de la société Optical Center à la somme de 200 000 € et rejette le surplus des conclusions de la requête. Et d’ordonner la publication de sa décision par la CNIL, de la même manière qu’il avait été procédé à la publication de la sanction initiale.

    Le Conseil d’Etat rappelle avec force que s’il appartient à la CNIL de tenir compte des critères posés à l’article 47 de la loi Informatique & Libertés, dans sa version en vigueur au moment des faits, pour prononcer une sanction, cette dernière se fait nécessairement sous le contrôle du juge qui s’assure de sa proportionnalité au regard des faits reprochés.

    Cette décision appelle toutefois deux remarques :

    • En premier lieu, la question de la « célérité » avec laquelle sont apportées les mesures correctrices semblait pourtant avoir été prise en compte par la CNIL dans sa Délibération n°SAN-2018-002 du 7 mai 2018. En effet, dans la motivation de sa sanction, la CNIL avait bien mentionné que « la société [avait] fait preuve de réactivité et [avait] effectué les diligences nécessaires auprès de son prestataire», sans toutefois, il est vrai, corréler directement ce constat avec le montant de la sanction.
    • En second lieu, rappelons que si les faits avaient eu lieu postérieurement au 25 mai 2018, soit après l’entrée en application du RGPD, la « célérité » avec laquelle ont été apportées les mesures correctrices, autrement dit, « le degré de coopération [de la société] avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels», aurait également été pris en compte au titre de l’article 83, §2 du RGPD, lequel fixe les 11 critères devant être pris en compte par les autorités de contrôle pour décider s’il y a lieu d’imposer une amende administrative et en déterminer le montant.

    [1] Techniques permettant d’identifier, de contrôler et de protéger l’information.