La sanction de la CNIL contre Optical Center confirmée par le Conseil d’Etat

Le Conseil d’Etat a validé la sanction pécuniaire de 50 000 € que la Cnil avait prononcé à l’encontre d’Optical Center, le 5 novembre 2015, pour manquement à ses obligations de sécurité et de confidentialité, par une décision du 19 juin 2017. Il a en revanche réformé la délibération de la Cnil sur la mesure de publication, en raison de son absence de limite dans le temps. Le Conseil d’Etat a, en effet, considéré que la sanction complémentaire infligée à l’opticien était excessive et a jugé que le maintien de la décision de la Cnil non anonymisée sur son site devait être limité à deux ans. Si la publication de la délibération vise à renforcer le caractère dissuasif de la sanction principale en lui assurant une publicité à l’égard du public, elle doit cependant respecter le principe de proportionnalité, rappelle le Conseil d‘Etat.

Dans sa délibération du 5 novembre 2015, la formation restreinte de la Cnil avait considéré que la société ne s’était pas mise en conformité sur deux points qu’elle lui reprochait. D’abord, elle n’avait pas mis en place les mesures adaptées pour assurer la sécurité et la confidentialité des données des 170 000 comptes utilisateurs sur son site. La Cnil avait constaté que, malgré sa mise en demeure, la zone de saisie de l’identifiant et du mot de passe pour accéder au compte client depuis la page d’accueil n’était pas accessible depuis une page web sécurisée par le protocole https. A noter qu’Optical Center s’était quand même conformé à la demande de la Cnil de « mettre en œuvre chiffrement du canal de communication et une authentification du site distant lors de l’accès au site web, que ce soit au stade de l’authentification des clients ou au stade du renseignement et de la validation du formulaire de collecte des données aux fins de création du compte ». Par ailleurs, la formation restreinte avait sanctionné la société car le contrat signé avec l’un de ses sous-traitants ne contenait pas de clause précisant les obligations de ce prestataire en matière de protection de la sécurité et de la confidentialité des données des clients.

« Eu égard à la nature, à la gravité et à la persistance des manquements constatés, la formation restreinte la CNIL n’a pas infligé à la société une sanction disproportionnée aux faits de l’espèce en prononçant à son encontre une sanction pécuniaire d’un montant de 50 000 euros. », a jugé le Conseil d’Etat. Cette sanction particulièrement sévère pour l’autorité de contrôle s’explique en partie, et comme souvent, par le manque de coopération, voire par la résistance de la personne ou de l’organisme épinglé, lors de l’instruction.

Lire la suite : https://www.legalis.net/jurisprudences/conseil-detat-10eme-9eme-ch-reunies-decision-du-19-juin-2017/

Source : legalis.net