Le 19 juin dernier, le Conseil d’Etat a partiellement confirmé la sanction pécuniaire de 50 000 euros prononcée par la Commission nationale de l’informatique et des libertés (Cnil) à l’encontre d’Optical Center. Le Conseil d’Etat estime que la décision de la Cnil est proportionnée au regard de « [fusion_builder_container hundred_percent= »yes » overflow= »visible »][fusion_builder_row][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][…] la nature, gravité et la persistance des manquements constatés. […] ».
En revanche, la sanction complémentaire, à savoir la publication de la sanction pécuniaire sans limitation de temps, a été jugée « excessive » par le Conseil d’Etat. Ce dernier a limité à deux ans le maintien en ligne de la sanction non anonymisée.
Rappelons qu’une cliente d’Optical Center avait, le 8 juillet 2014, saisi la Cnil d’une plainte. A l’issue du contrôle qu’elle avait réalisé puis d’une procédure de sanction, la Cnil avait estimé que la société avait manqué à son obligation d’assurer la sécurité et la confidentialité des données, y compris dans ses relations avec ses sous-traitants.
Pourquoi le Conseil d’Etat a-t-il confirmé la sanction pécuniaire de la Cnil ?
La société Optical Center a demandé l’annulation de la délibération de la Cnil au motif que :
- la sanction pécuniaire aurait été disproportionnée et,
- la publication aurait été excessive.
L’article 47 de la loi « Informatique et Libertés » dispose que « Le montant de la sanction pécuniaire est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. ». Le Conseil d’Etat rappelle que plusieurs éléments sont pris en compte pour décider du montant de la sanction tels que le caractère intentionnel du manquement ou la catégorie de données concernées.
En 2015, la Cnil avait notamment sanctionné l’absence de politique de gestion des mots de passe au sein de l’entreprise, tant pour ses clients que pour ses salariés. Elle avait précisé que les mesures de sécurité physiques seules étaient insuffisantes et qu’elles devaient être accompagnées de mesures de sécurité logiques, ce qui n’était pas le cas en espèce du fait de l’absence de verrouillage automatique des postes informatiques des salariés.
Par ailleurs, les nouvelles mesures de protection ne devaient pas être seulement mises en œuvre à l’égard des clients créant un compte personnel sur le site de la société Optical Center mais également à l’égard des clients qui avaient déjà créé un compte.
Enfin, la Cnil avait audité les contrats conclus entre la société Optical Center et ses sous-traitants. L’autorité administrative avait ainsi constaté l’absence de clause relative à la protection des données à caractère personnel dans l’un de ces contrats.
Au regard des éléments pris en compte par la Cnil, le Conseil a estimé que la « nature, la gravité et la persistance des manquements » justifiaient le montant de la sanction pécuniaire. A ce titre, la Haute juridiction administrative a finalement retenu que cette dernière n’était pas disproportionnée.
Pourquoi la publication de la sanction non anonymisée est-elle jugée excessive ?
La société Optical Center soutenait que la publicité de la sanction était excessive.
Le Conseil d’Etat estime qu’en considération de la gravité des manquements et de leur persistance, la publication de la sanction est justifiée. En outre, elle renforce l’effet dissuasif de la sanction pécuniaire compte tenu de la renommée de la société. Toutefois, le Conseil d’Etat souligne que la Cnil n’a pas précisé la durée du maintien en ligne de la délibération en cause de manière non anonymisée. Dans ce contexte, le Conseil d’Etat estime que la sanction complémentaire de publicité décidée par la Cnil doit être regardée comme excessive car « sans borne temporelle ».
La délibération de la Cnil devra donc être anonymisée au bout de deux ans.
Que retenir ?
En tant que responsable du traitement, vous devez assurer le respect de la loi Informatique et Libertés, y compris à l’égard de vos sous-traitants. Nous ne pouvons que vous recommander d’accorder une attention particulière aux contrats conclus avec ces derniers, notamment en prévoyant une faculté d’audit pour vous permettre de vérifier le respect effectif des mesures de sécurité des données à caractère personnel que vous leur avez imposées. L’application du Règlement général sur la protection des données (RGPD) devra également inciter les sous-traitants à être vigilants.
Enfin, nous ne pouvons qu’insister sur l’importance de se faire accompagner par des professionnels du droit, spécialisés dans le droit des données à caractère personnel si la Cnil venait à contrôler votre société ou organisme. En effet, dans cette hypothèse, vous auriez à répondre à des questions posées par un juriste et un technicien. Il convient donc de composer une équipe pluridisciplinaire afin de présenter, autant que possible, le bon interlocuteur aux agents de la Cnil.
[/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]