Dans l’appréhension des obligations des sociétés à l’égard du RGPD et de la protection des données, plusieurs décisions récentes du Conseil d’Etat apportent des précisions particulièrement intéressantes relative aux recours envisageables en cas de condamnation.
Optical Center : La réaction rapide du responsable de traitement pris en compte
Les faits remontent à mai 2018 lorsque la société Optical Center était condamnée par la CNIL à 250 000 euros d’amende.
La CNIL avait sanctionné l’insuffisance de sécurité des données de ses clients effectuant une commande en ligne à partir de son site internet.
Etaient en cause l’accès libre à plus de 330 000 documents- factures, coordonnées, données de santé, numéros d’identification au répertoire national (NIR) qu’elles contenaient.
Retrouvez notre article sur la décision en cause
RGPD et CNIL : les voies de recours envisageables
La décision avait fait l’objet d’un recours en annulation devant le conseil d’état – précisions sur les recours possibles d’une décision de la CNIL – arguant notamment qu’aucun client n’a subi de préjudice et Optical Center aucune erreur
Le 17 avril 2019, le Conseil d’Etat a confirmé la condamnation de la société mais a cependant minoré l’amende, jugée disproportionnée au regard de « la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés ».
Sur le fondement de l’article 47 de la loi Informatique & Libertés, la sanction a été réduite à la somme de 200 000 €.
ADEF et RGPD : la facilité des moyens de correction pris en compte
Le 21 juin 2018, l’Association pour le Développement des Foyers (ADEF) était condamnée à une amende de 75 000 euros, rendue publique, pour des manquements graves à la sécurisation et la confidentialité des données personnelles des utilisateurs de son site internet.
La CNIL avait constaté qu’ « une modification du chemin de l’URL affichée dans le navigateur permettait d’accéder à des documents enregistrés par d’autres demandeurs : avis d’imposition, passeports, cartes d’identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF ».
Retrouvez notre article consacré à l’affaire
Un recours avait été effectué dans la mesure où les mesures avaient été prises par l’ADEF avait la décision qui n’avait en conséquence pas ordonné de mise en conformité. La sanction apparaissait dès lors comme disproportionnée et inadéquate.
Le 17 avril 2019, le Conseil d’État confirme la sanction de la CNIL rejetant les sanctions.
L’autorité administrative valide en effet la proportionnalité de la décision considérant que « eu égard à la nature et à la gravité du manquement constaté qu’il aurait été possible de prévenir par des mesures simples de sécurité, comme l’occultation des chemins d’accès aux dossiers enregistrés ou l’authentification des utilisateurs du traitement, aux moyens importants dont dispose l’association et au délai avec lequel elle a apporté les mesures correctrices de nature à remédier à ce manquement, la formation restreinte de la Cnil a infligé à l’Adef une sanction proportionnée ».
