Par une Délibération du 7 mai 2018, la CNIL avait infligé une amende de 250.000 euros à la société OPTICAL CENTER en raison d’une absence de sécurisation des données personnelles de ses clients.
La CNIL avait constaté que les factures des clients e-commerce d’OPTICAL CENTER étaient accessibles à tous sur internet en tapant une URL spécifique dans la barre d’adresse, et ce sans qu’il soit nécessaire de se connecter ou de s’authentifier. Ces factures comportaient notamment des noms, prénoms, adresses postales, corrections ophtalmologiques, dates de naissance, et numéros d’inscription au répertoire national d’identification des personnes physiques (numéro de sécurité sociale).
La sanction à hauteur de 250.000 euros était sévère mais il s’agissait en quelque sorte d’une récidive puisque la société OPTICAL CENTER avait déjà été condamnée par la CNIL en 2015 à une amende de 50 000 € (délibération n°2015-379 du 5 novembre 2015) en raison du fait que les mots de passe des comptes clients étaient stockés en clair dans sa base de données.
La société OPTICAL CENTER a fait appel de la décision du 7 mai 2018 devant le Conseil d’Etat.
Le manquement à l’obligation de sécuriser les données est confirmé
La juridiction administrative a confirmé le principe de la sanction en soulignant que le site e-commerce d’Optical Center n’intégrait pas de fonctionnalité permettant de vérifier qu’un client s’était bien authentifié à son espace personnel avant de lui donner accès à ses bons de commandes et factures. Le Conseil d’Etat fait siens les arguments de la CNIL en indiquant que les documents étaient accessibles sans contrôle préalable et « sans qu’il soit besoin d’une maîtrise technique particulière ».
Le Conseil d’Etat reproche également à la société Optical Center de ne pas avoir mis en place de protocole de tests en amont de la mise en production de son site internet ou de programme d’audits de sécurité ultérieurs.
Il rappelle enfin fermement que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Autre sanction récente : La CNIL a condamné un site spécialisé dans l’immobilier à une amende de 400.000 euros le 28 mai 2019 pour des faits très similaires (Délibération du 28 mai 2019 à l’encontre de la société SERGIC).
L’envoi d’une mise en demeure préalable n’est pas systématique ni obligatoire
La Haute Juridiction confirme qu’en vertu de la loi applicable au moment des faits (juillet 2017), et après examen des travaux préparatoires de la loi du 7 octobre 2016 (Loi pour une République numérique), la CNIL pouvait tout-à-fait sanctionner un responsable de traitement sans mise en demeure préalable. Le Conseil d’Etat précise les deux hypothèses dans lesquelles une société peut être sanctionnée sans mise en demeure préalable : 1) lorsqu’il est impossible de régulariser la situation, 2) lorsqu’il a été remédié au manquement avant la décision de la CNIL.
En ce qui concerne la première hypothèse, le Conseil d’Etat ne reprend pas l’argument de la CNIL selon lequel un préjudice passé ne peut plus être régularisé (En mai 2018, la CNIL avait précisé qu’un incident de sécurité pouvait être réparé pour l’avenir mais non pour le passé.), mais vise seulement les manquements « insusceptibles » d’être régularisés.
Pour la seconde hypothèse, précisons simplement que l’intérêt d’une mise en demeure est d’inciter le responsable de traitement à mettre en œuvre l’action préconisée par la CNIL. Si le responsable de traitement a déjà réalisé l’opération, la mise en demeure n’a plus d’objet. Pour le Conseil d’Etat, lorsque la mesure correctrice est apportée, la CNIL peut légalement engager une procédure de sanction, sans procéder à une mise en demeure préalable.
Le RGPD aujourd’hui en vigueur, clarifie ce point et précise que les amendes administratives peuvent être imposées en complément ou à la place d’un avertissement, d’une injonction ou d’un rappel à l’ordre (article 83.2 du RGPD).
La loi Informatique et libertés dans sa rédaction actuelle prévoit qu’une amende administrative est possible lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du RGPD ou de la loi, (…), le cas échéant après lui avoir adressé un avertissement ou, le cas échéant en complément d’une mise en demeure.
Cela signifie selon la CNIL (Décision SERGIC précitée), que le prononcé d’une sanction n’est pas subordonné à l’adoption préalable d’une mise en demeure. La décision de désigner un rapporteur et de saisir la formation restreinte est un pouvoir appartenant au Président de la CNIL, qui dispose de l’opportunité des poursuites et peut donc déterminer, en fonction des circonstances, les suites à apporter à des investigations (clôture, mise ou demeure ou saisine de la formation restreinte en vue du prononcé d’une ou plusieurs mesures correctrices).
Les modalités d’évaluation de la sanction
Le Conseil d’Etat note tout d’abord que 334.769 documents étaient en libre-accès, et qu’OPTICAL CENTER n’a pas justifié avoir pris les précautions nécessaires à la sécurisation de son site web.
Le caractère intentionnel ou de négligence du manquement est également pris en considération, ainsi que le degré de coopération afin de remédier au manquement et d’atténuer ses effets négatifs éventuels.
Le Conseil d’Etat ajoute un critère : la CNIL aurait dû « prendre en compte la célérité avec laquelle Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés. »
Il en déduit que la sanction est disproportionnée et la ramène à 200.000 euros.
Le même jour, pour des faits similaires, le Conseil d’Etat a confirmé la sanction de la CNIL de 75.000 euros à l’encontre de l’Association pour le développement des foyers (ADEF).
Précisons que si le RGPD entré en vigueur le 25 mai 2018 a fortement augmenté le montant des sanctions possibles (20 millions d’euros ou 4% du chiffre d’affaires mondial), il prévoit également la proportionnalité de la sanction en son article 83 : « Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives. »
Le RGPD précise également les éléments dont doivent tenir compte les autorités de contrôle pour fixer le montant des amendes :
– la nature, la gravité et la durée de la violation;
– le fait que la violation a été commise délibérément ou par négligence;
– toute mesure prise pour atténuer le dommage subi par les personnes concernées;
– toute violation pertinente commise précédemment ;
– le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs;
– les catégories de données à caractère personnel concernées par la violation;
– la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, la violation a été notifiée;
– toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.
(article 83-2 du RGPD)
Le Conseil d’Etat est donc toujours enclin à confirmer les décisions de la CNIL mais prend également en compte le principe de la proportionnalité des sanctions.
La CNIL devra désormais indiquer clairement dans ses délibérations dans quelle mesure elle prend en compte la coopération et la réactivité de l’organisme sanctionné.
Rappel pratique : faire procéder régulièrement à des tests d’intrusion pour vérifier la sécurisation de son site web.
Charlotte GALICHET
Pour aller plus loin :
Délibération initiale de la CNIL n°2018-002 du 7 mai 2018
Délibération CNIL n°2015-379 du 5 novembre 2015
Conseil d’Etat, 17 avril 2019, 423559, Association pour le développement des foyers (ADEF)
Délibération CNIL n°2019-005 du 28 mai 2019