A propos de CE, 17 avril 2019, Arrêt n°422575
La CNIL peut sanctionner financièrement le manquement à l’obligation de sécurité, sans mise en demeure préalable.
En 2017, la CNIL a reçu un signalement du fait que des données à caractère personnel étaient librement accessibles sur le site de la société Optical Center à partir de plusieurs adresses URL ayant une structure identique.
Après vérification, la CNIL a alors pu accéder, via ces URL, à des factures contenant les nom, prénom, coordonnées postales, correction ophtalmologique et numéro de sécurité sociale des personnes. En outre, les agents contrôleurs de la CNIL ont également pu, depuis le site d’Optical Center et sans authentification préalable dans l'espace client, exporter au format CSV, un échantillon de plus de 2000 fichiers correspondant aux données de plus de 1200 clients.
Cela résultait du fait que le site internet de la société Optical Center n'intégrait pas de fonctionnalité permettant de vérifier qu'un client s'était bien authentifié à son espace personnel avant de lui donner accès à ses factures et bons de commande.
Alertée par la CNIL, la société Optical Center a alors immédiatement corrigé le défaut de sécurité affectant son site et mis en place un système d’authentification des clients.
Néanmoins, malgré cette régularisation, la formation restreinte de la CNIL, par une délibération n°2018-002 du 7 mai 2018, a prononcé à l’encontre de la société Optical Center une sanction pécuniaire d'un montant de 250 000 euros pour un manquement à son obligation de sécurité des données (article 34 de la loi Informatique et Libertés du 6 janvier 1978 modifiée) et décidé de rendre publique sa délibération pendant une durée de 2 ans à compter de sa publication.
La société a alors saisi le Conseil d’Etat d’une requête en annulation de cette délibération et, à titre subsidiaire, d’une demande de réduction du montant de la sanction pécuniaire.
Le Conseil d’Etat, au visa de l’article 45 de la loi Informatique et Libertés du 6 janvier 1978 modifiée, dans sa rédaction applicable au litige issue de la loi du 7 octobre 2016 pour une République numérique, juge que la formation restreinte de la CNIL peut, sans mise en demeure préalable, sanctionner un responsable de traitement dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d'être régularisés soit qu'ils soient insusceptibles de l'être soit qu'il y ait déjà été remédié.
En l’espèce, il constate que le manquement aux obligations de sécurité avait cessé et n'était dès lors plus susceptible de faire l'objet d'une régularisation. Dès lors, la formation restreinte de la CNIL pouvait légalement engager une procédure de sanction à l'encontre de la société Optical Center, sans mise en demeure préalable. C’est pourquoi le Conseil d’Etat déboute la société Optical Center de sa requête en annulation de la Délibération contestée de la formation restreinte de la CNIL.
Le Conseil d’Etat rappelle ensuite que l’article 34 de la loi du 6 janvier 1978, applicable au cas d’espèce, dispose que : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Le Conseil d’Etat constate d’une part, que la violation de données résulte en l’espèce de l’absence de fonctionnalité permettant de vérifier qu'un client s'était bien authentifié à son espace personnel avant de lui donner accès à ses factures et bons de commande susceptibles de contenir des données sensibles (données de santé et numéro de sécurité sociale) et d’autre part, qu’aucun protocole de tests en amont de la mise en production de son site internet (principes de privacy bv design et de privacy by default) ou programme d'audits de sécurité ultérieurs n’avait été mis en place (principe d’accountability).
Dans ces conditions, le Conseil d’Etat juge que « c'est à bon droit que la formation restreinte de la CNIL a caractérisé l'existence d'un manquement aux obligations de sécurité prévues par l'article 34 précité ».
Le Conseil d’Etat accède néanmoins à la demande de réduction de la sanction pécuniaire en tenant compte de la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés pour ramener le montant de la sanction pécuniaire au montant de 200.000 euros.
En effet, le Conseil d’Etat juge que la formation restreinte doit tenir compte de la nature, de la gravité et de la durée des manquements, mais aussi du comportement du responsable du traitement à la suite du constat de ces manquements pour déterminer le montant de la sanction pécuniaire prononcée.
Les enseignements de cet arrêt du Conseil d’Etat sont les suivants :
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du secteur public comme du secteur privé dans le cadre de la mise en place des mesures de sécurité techniques et organisationnelles nécessaires pour répondre à leur obligation de sécurité des traitements de données personnelles qu’ils mettent en œuvre. Pour en savoir plus, contactez-nous ici.