blog
Affaires Optical Center et ADEF : la CNIL de nouveau soutenue par le Conseil d’Etat
9 mai 2019

Dans le sillage des arrêts ACADOMIA et Challenges.fr, le Conseil d’Etat est venu confirmer le 17 avril dernier les décisions de sanction prononcées par la CNIL. Ces arrêts font apparaître la difficulté, voire l’impossibilité, de contester les sanctions prononcées par l’autorité administrative, quand bien même le responsable aurait agi de façon très coopérative dans le but de remédier à un manquement.

La première décision concernait l’Association pour le développement des foyers (ADEF), condamnée en juin 2018 à une amende de 75 000€ par la CNIL pour avoir insuffisamment protégé les données des utilisateurs de son site Internet. En l’espèce, un incident de sécurité conduisait à rendre librement accessibles les données personnelles des demandeurs de logement ayant effectué une démarche d’inscription sur le site internet de l’association. Lors d’un contrôle sur site, la Commission avait constaté l’absence de correction du défaut et avait donc sanctionné l’organisme.

Dans la seconde décision, les données personnelles sensibles des clients d’Optical Center avaient été rendues disponibles (notamment leur NIR). Alors même que l’entreprise avait procédé à la correction de l’anomalie, elle a été condamnée à une amende de 250 000€ et à la publication de cette décision.

Point commun de ces affaires, les requérants reprochaient tous deux à la CNIL l’absence de mise en demeure préalable au prononcé de sanctions et leur caractère disproportionné.

Une mise en demeure n’est pas un préalable nécessaire

Le Conseil d’Etat refuse de faire droit aux prétentions des parties et rappelle à ce titre les dispositions de l’article 45 de la loi de 1978 autorisant l’autorité de contrôle de prononcer une sanction sans mise en demeure préalable.

A noter que ces décisions ont été rendues sous le visa de l’ancien article 45 dans sa version issue de la loi du 7 octobre 2016 pour une République Numérique. Pour autant, la solution aurait été identique si la CNIL s’était basée sur la nouvelle rédaction de la loi de 1978 issue du RGPD car le nouveau texte prévoit également une mise en demeure facultative dans l’hypothèse où le manquement constaté n’est pas susceptible d’être corrigé.

La proportionnalité de la sanction infligée

Pour se prononcer sur cette épineuse  question, le Conseil d’Etat reprend les différents critères pris en compte par la CNIL pour fixer une amende : 

  1. le caractère intentionnel ou de négligence du manquement ;
  2. les mesures prises par le responsable de traitement pour atténuer les dommages subis ;
  3. le degré de coopération avec la Commission ;
  4. les catégories de données concernées ; et
  5. la manière dont le manquement a été porté à la connaissance de cette dernière.

Dans sa décision ADEF, le Conseil donne raison à la CNIL et estime que la sanction n’est pas disproportionnée car le manquement aurait pu être prévenu par des mesures simples, comme l’occultation des chemins d’accès aux dossiers enregistrés ou encore l’authentification des utilisateurs du traitement. Par contre, s’agissant d’Optical Center, si la sanction est confirmée dans son principe, le Conseil d’Etat la réduit à 200 000€ en raison de la célérité avec laquelle le responsable de traitement avait apporté des mesures pour remédier aux manquements constatés.

***

Pour en savoir plus :

http://www.conseil-etat.fr/fr/arianeweb/CE/decision/2019-04-17/422575

http://www.conseil-etat.fr/fr/arianeweb/CE/decision/2019-04-17/423559

blog
Affaires Optical Center et ADEF : la CNIL de nouveau soutenue par le Conseil d’Etat
9 May 2019

Dans le sillage des arrêts ACADOMIA et Challenges.fr, le Conseil d’Etat est venu confirmer le 17 avril dernier les décisions de sanction prononcées par la CNIL. Ces arrêts font apparaître la difficulté, voire l’impossibilité, de contester les sanctions prononcées par l’autorité administrative, quand bien même le responsable aurait agi de façon très coopérative dans le but de remédier à un manquement.

La première décision concernait l’Association pour le développement des foyers (ADEF), condamnée en juin 2018 à une amende de 75 000€ par la CNIL pour avoir insuffisamment protégé les données des utilisateurs de son site Internet. En l’espèce, un incident de sécurité conduisait à rendre librement accessibles les données personnelles des demandeurs de logement ayant effectué une démarche d’inscription sur le site internet de l’association. Lors d’un contrôle sur site, la Commission avait constaté l’absence de correction du défaut et avait donc sanctionné l’organisme.

Dans la seconde décision, les données personnelles sensibles des clients d’Optical Center avaient été rendues disponibles (notamment leur NIR). Alors même que l’entreprise avait procédé à la correction de l’anomalie, elle a été condamnée à une amende de 250 000€ et à la publication de cette décision.

Point commun de ces affaires, les requérants reprochaient tous deux à la CNIL l’absence de mise en demeure préalable au prononcé de sanctions et leur caractère disproportionné.

Une mise en demeure n’est pas un préalable nécessaire

Le Conseil d’Etat refuse de faire droit aux prétentions des parties et rappelle à ce titre les dispositions de l’article 45 de la loi de 1978 autorisant l’autorité de contrôle de prononcer une sanction sans mise en demeure préalable.

A noter que ces décisions ont été rendues sous le visa de l’ancien article 45 dans sa version issue de la loi du 7 octobre 2016 pour une République Numérique. Pour autant, la solution aurait été identique si la CNIL s’était basée sur la nouvelle rédaction de la loi de 1978 issue du RGPD car le nouveau texte prévoit également une mise en demeure facultative dans l’hypothèse où le manquement constaté n’est pas susceptible d’être corrigé.

La proportionnalité de la sanction infligée

Pour se prononcer sur cette épineuse  question, le Conseil d’Etat reprend les différents critères pris en compte par la CNIL pour fixer une amende : 

  1. le caractère intentionnel ou de négligence du manquement ;
  2. les mesures prises par le responsable de traitement pour atténuer les dommages subis ;
  3. le degré de coopération avec la Commission ;
  4. les catégories de données concernées ; et
  5. la manière dont le manquement a été porté à la connaissance de cette dernière.

Dans sa décision ADEF, le Conseil donne raison à la CNIL et estime que la sanction n’est pas disproportionnée car le manquement aurait pu être prévenu par des mesures simples, comme l’occultation des chemins d’accès aux dossiers enregistrés ou encore l’authentification des utilisateurs du traitement. Par contre, s’agissant d’Optical Center, si la sanction est confirmée dans son principe, le Conseil d’Etat la réduit à 200 000€ en raison de la célérité avec laquelle le responsable de traitement avait apporté des mesures pour remédier aux manquements constatés.

***

Pour en savoir plus :

http://www.conseil-etat.fr/fr/arianeweb/CE/decision/2019-04-17/422575

http://www.conseil-etat.fr/fr/arianeweb/CE/decision/2019-04-17/423559