Type de juridiction : Conseil d’État
Juridiction : Conseil d’Etat
Thématique : Sanction CNIL : modération de la sanction d’Optical Center
→ RésuméLa sanction initiale de 250 000 euros infligée à Optical Center par la CNIL a été réduite à 200 000 euros par le Conseil d’État. Cette décision souligne l’importance de la proportionnalité dans les sanctions, tenant compte de la gravité des manquements et des mesures correctrices prises par l’entreprise. Optical Center avait omis de sécuriser l’accès à des données sensibles sur son site, permettant à tout client d’accéder à des informations confidentielles sans authentification préalable. La rapidité de la mise en conformité de la société a été un facteur déterminant dans la modération de la sanction.
|
Affaire Optical Center
La sanction pécuniaire de 250 000 euros infligée par la CNIL à la société Optical Center a été ramenée à 200 000 euros par le Conseil d’État.
Pouvoir de sanction de la CNIL
Lorsque la CNIL constate des manquements à l’obligation d’assurer la sécurité et la confidentialité des données, il lui appartient, pour prononcer une sanction sous le contrôle du juge, de tenir compte de la nature, de la gravité et de la durée de ces manquements, mais aussi du comportement du responsable du traitement à la suite de ce constat.
Le montant de la sanction pécuniaire doit être proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la Commission nationale de l’informatique et des libertés prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission. Le montant de la sanction ne peut excéder 3 millions d’euros.
Sanction disproportionnée
En l’occurrence, en retenant une sanction pécuniaire d’un montant de 250 000 euros sans prendre en compte la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée.
Historique de l’affaire
Pour rappel, il résulte de l’instruction qu’avant sa mise en conformité à la suite de l’intervention de la CNIL, le site internet de la société Optical Center, qui permet d’effectuer des commandes en ligne après avoir créé un compte dédié, n’intégrait pas de fonctionnalité permettant de vérifier qu’un client s’était bien authentifié à son espace personnel avant de lui donner accès à ses factures et bons de commande, lesquels pouvaient inclure des données sensibles, telles des données de santé ou des numéros NIR.
L’ensemble des données concernées, dans une base d’au moins 334769 documents, étaient donc accessibles sans contrôle préalable et sans qu’il soit besoin d’une maîtrise technique particulière, à tout client par la simple modification, lors de la consultation d’une facture ou d’un bon de commande, du paramètre » id « , très visible, relatif à l’identifiant de la facture. D’autre part, la société n’avait pas pris les précautions de sécurité suffisantes en mettant en place un protocole de tests en amont de la mise en production de son site internet ou en établissant un programme d’audits de sécurité ultérieurs.
Laisser un commentaire