Accéder au contenu principal

Optical Discount : la sanction de la Cnil était disproportionnée

Le Conseil d’Etat réduit la sanction pécuniaire infligée à la société Optical Discount en considération de la célérité avec laquelle la société a remédié au défaut de sécurisation de son site internet.

Le Conseil d’Etat réduit la sanction pécuniaire infligée à la société Optical Discount en considération de la célérité avec laquelle la société a remédié au défaut de sécurisation de son site internet.

Par une délibération du 7 mai 2018, la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) a prononcé une sanction pécuniaire d’un montant de 250.000 € à l’encontre de la société Optical Discount, estimant que celle-ci avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.En l’espèce, le site www.optical-center.fr n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société.La société a demandé au Conseil d’Etat l’annulation de cette décision et d’enjoindre à la Cnil de prononcer la clôture de la procédure. Elle soutenait que la Cnil avait pu constater le 9 août 2017 que le site litigieux était mis en conformité et que sa décision du 7 mai 2018 avait été prononcée sur des faits antérieurs à l’entrée en vigueur du Règlement général sur la protection des données (RGPD).
Par un arrêt du 17 avril 2019, le Conseil d’Etat réforme la délibération de la Cnil en ramenant le montant de la sanction à 200.000 €. Il considère qu’en retenant une sanction pécuniaire d’un montant de 250.000 € sans prendre en compte la célérité avec laquelle la société avait apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la Cnil a infligé à cette société une sanction disproportionnée.

– Conseil d’Etat, 10ème – 9ème chambres réunies, 17 avril 2019 (requête n° 422575 – ECLI:FR:CECHR:2019:422575.20190417), société Optical Center c/ Commission nationale de l’informatique et des libertés (Cnil) – https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000038388015&fastReqId=58328207&fastPos=1
– Délibération de la formation restreinte n° SAN-2018-002 du 7 mai 2018 prononçant une sanction pécuniaire à l’encontre de la société OPTICAL CENTER – https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000038388015&fastReqId=58328207&fastPos=1
– Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 34 – https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000038388015&fastReqId=58328207&fastPos=1
– Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) – https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000038388015&fastReqId=58328207&fastPos=1