Par un arrêt du 17 avril 2019, le Conseil d’Etat réduit la sanction pécuniaire prononcée par la CNIL à l’encontre de la société Optical Center. La Haute juridiction administrative prend en considération la rapidité des mesures correctives mises en place par le responsable de traitement, mais confirme la possibilité d’une sanction de la formation restreinte sans mise en demeure préalable.

La décision du Conseil d’Etat, qui intervient au terme de la première année de mise en application du RGPD, met  en lumière l’importance de la coopération des responsables de traitement avec la CNIL. 

Informée fin juillet 2017 d’une éventuelle fuite de données, la CNIL a procédé à un contrôle en ligne du site internet de la société Optical Center permettant de commander par internet des lunettes correctrices. Les investigations menées dans ce contexte permettent à l’autorité de contrôle de constater le libre accès par les internautes aux factures de clients tiers contenant des données telles que l’identité, la correction ophtalmologique et, dans certains cas, la date de naissance et le numéro d’inscription au répertoire national d’identification des personnes physiques. Elle en informe le jour même la société Optical center qui met en place, à très bref délai, des mesures correctives.

Pour autant, la CNIL, relevant que les mesures élémentaires de sécurité n’avaient pas été prises en amont de la mise en place de la nouvelle fonctionnalité et considérant que la sensibilité des données concernées nécessitait une surveillance particulière, prononce, par délibération du 7 mai 2018, une sanction pécuniaire de 250 000 euros à l’encontre d’Optical Center.

Le Conseil d’Etat diminue le montant de la sanction infligée par la formation restreinte en invoquant  la nécessité de prendre en compte le comportement du responsable de traitement à la suite du constat opéré par l’autorité de contrôle. Il confirme néanmoins la sanction directe, sans mise en demeure préalable du responsable de traitement, dès lors que les manquements aux obligations qui lui incombent ne sont pas susceptibles d’être régularisés, sont insusceptibles de l’être, ou qu’il y a déjà été remédié.


La prise en considération par le Conseil d’Etat du comportement d’Optical Center dans l’évaluation du montant de la sanction est d’importance. Elle illustre l’étendue des nouvelles obligations, pour tout responsable de traitement, de coopérer avec l’autorité de contrôle.

Parmi celles-ci, la nécessaire  notification, dans des délais contraints, de  toute violation de données à caractère personnel dont il aurait connaissance. De sorte à être réactif dans le cours délais requis, la mise en place de procédures dédiées au traitement de tels incidents permet d’anticiper, le moment venu, la gestion de crise et d’envisager au plus vite des mesures correctrices adaptées.

 

Odile Jami-Caston, juriste experte, directrire du pôle Data Privacy & RGPD Compliance et Marthieu Vincens, juriste

Nous contacter