A propos de CE, 17 avril 2019, Arrêt n°422575
La CNIL peut sanctionner financièrement le manquement à l’obligation de sécurité, sans mise en demeure préalable.
1. Rappel des faits
En 2017, la CNIL a reçu un signalement du fait que des données à caractère personnel étaient librement accessibles sur le site de la société Optical Center à partir de plusieurs adresses URL ayant une structure identique.
Après vérification, la CNIL a alors pu accéder, via ces URL, à des factures contenant les nom, prénom, coordonnées postales, correction ophtalmologique et numéro de sécurité sociale des personnes. En outre, les agents contrôleurs de la CNIL ont également pu, depuis le site d’Optical Center et sans authentification préalable dans l'espace client, exporter au format CSV, un échantillon de plus de 2000 fichiers correspondant aux données de plus de 1200 clients.
Cela résultait du fait que le site internet de la société Optical Center n'intégrait pas de fonctionnalité permettant de vérifier qu'un client s'était bien authentifié à son espace personnel avant de lui donner accès à ses factures et bons de commande.
Alertée par la CNIL, la société Optical Center a alors immédiatement corrigé le défaut de sécurité affectant son site et mis en place un système d’authentification des clients.
Néanmoins, malgré cette régularisation, la formation restreinte de la CNIL, par une délibération n°2018-002 du 7 mai 2018, a prononcé à l’encontre de la société Optical Center une sanction pécuniaire d'un montant de 250 000 euros pour un manquement à son obligation de sécurité des données (article 34 de la loi Informatique et Libertés du 6 janvier 1978 modifiée) et décidé de rendre publique sa délibération pendant une durée de 2 ans à compter de sa publication.
La société a alors saisi le Conseil d’Etat d’une requête en annulation de cette délibération et, à titre subsidiaire, d’une demande de réduction du montant de la sanction pécuniaire.
2. Le pouvoir de sanction pécuniaire de la CNIL sans mise en demeure préalable
Le Conseil d’Etat, au visa de l’article 45 de la loi Informatique et Libertés du 6 janvier 1978 modifiée, dans sa rédaction applicable au litige issue de la loi du 7 octobre 2016 pour une République numérique, juge que la formation restreinte de la CNIL peut, sans mise en demeure préalable, sanctionner un responsable de traitement dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d'être régularisés soit qu'ils soient insusceptibles de l'être soit qu'il y ait déjà été remédié.
En l’espèce, il constate que le manquement aux obligations de sécurité avait cessé et n'était dès lors plus susceptible de faire l'objet d'une régularisation. Dès lors, la formation restreinte de la CNIL pouvait légalement engager une procédure de sanction à l'encontre de la société Optical Center, sans mise en demeure préalable. C’est pourquoi le Conseil d’Etat déboute la société Optical Center de sa requête en annulation de la Délibération contestée de la formation restreinte de la CNIL.
3. La nécessité de justifier de mesures techniques et organisationnelles pour échapper aux sanctions pécuniaires en cas de faille de sécurité entraînant une violation de données personnelles
Le Conseil d’Etat rappelle ensuite que l’article 34 de la loi du 6 janvier 1978, applicable au cas d’espèce, dispose que : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Le Conseil d’Etat constate d’une part, que la violation de données résulte en l’espèce de l’absence de fonctionnalité permettant de vérifier qu'un client s'était bien authentifié à son espace personnel avant de lui donner accès à ses factures et bons de commande susceptibles de contenir des données sensibles (données de santé et numéro de sécurité sociale) et d’autre part, qu’aucun protocole de tests en amont de la mise en production de son site internet (principes de privacy bv design et de privacy by default) ou programme d'audits de sécurité ultérieurs n’avait été mis en place (principe d’accountability).
Dans ces conditions, le Conseil d’Etat juge que « c'est à bon droit que la formation restreinte de la CNIL a caractérisé l'existence d'un manquement aux obligations de sécurité prévues par l'article 34 précité ».
4. La réduction « symbolique » du montant de la sanction pécuniaire par le Conseil d’Etat
Le Conseil d’Etat accède néanmoins à la demande de réduction de la sanction pécuniaire en tenant compte de la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés pour ramener le montant de la sanction pécuniaire au montant de 200.000 euros.
En effet, le Conseil d’Etat juge que la formation restreinte doit tenir compte de la nature, de la gravité et de la durée des manquements, mais aussi du comportement du responsable du traitement à la suite du constat de ces manquements pour déterminer le montant de la sanction pécuniaire prononcée.
5. Les enseignements
Les enseignements de cet arrêt du Conseil d’Etat sont les suivants :
- La CNIL peut sanctionner financièrement des manquements aux obligations incombant aux responsables de traitement sans mise en demeure préalable ;
- Le comportement positif du responsable de traitement suite aux manquements constatés peut être de nature à atténuer le montant de la sanction pécuniaire ;
- L’absence de mise en place de protocole de tests en amont de la mise en production du traitement et d’audits de sécurité ultérieurs caractérise un manquement à l’obligation de sécurité qui incombe au responsable de traitement, alors que la violation de données résulte de l’absence de mise en place d’un procédé d’authentification des personnes habilitées à accéder à certaines données ;
- Une politique de gestion des accès sécurisés et habilitations doit être mise en place pour assurer la sécurité et la confidentialité des données ;
- Avec l’obligation de notification des failles de sécurité engendrant une violation de données, les responsables de traitement encourent une sanction pécuniaire sans mise en demeure préalable de la CNIL dès lors qu’ils ne justifieront pas avoir mis en place un certain nombre de mesures techniques et organisationnelles destinées à assurer la sécurité des traitements et la confidentialité des données personnelles concernées.
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du secteur public comme du secteur privé dans le cadre de la mise en place des mesures de sécurité techniques et organisationnelles nécessaires pour répondre à leur obligation de sécurité des traitements de données personnelles qu’ils mettent en œuvre. Pour en savoir plus, contactez-nous ici.
