Protection des données personnelles : sanction CNIL
La récente application du Règlement Général pour la Protection des données – RGPD – a permis de médiatiser les nombreuses sanctions prononcées contre les sociétés violant le respect de la vie privée des personnes.
Phénomène européen, la CNIL britannique a récemment sanctionné la police du Gloucestershire à hauteur de 80.000 livres pour avoir envoyé un email à 56 destinataires sans avoir utilisé la fonction « copie cachée ».
Elle a ainsi révélé les noms de victimes, témoins, avocats et journalistes, ainsi que l’opérateur BT sanctionné à hauteur de 77 0000 livres pour avoir envoyé plus de cinq millions de courriers spams destinés à faire la promotion d’association caritatives.
Retrouvez plus de décisions de la CNIL relatives aux violations de protection des données personnelles.
RGPD et manquements des sociétés: Optical Center sanctionné
En France et dans la continuité des décisions de sanctions de la CNIL depuis le début d’année, la société Optical Center a été condamné le 7 mai dernier à 250Â 000 euros pour avoir insuffisamment sécurisé les données de ses clients effectuant une commande en ligne à partir de son site internet.
Informé d’une fuite de données en juillet 2017, un contrôle de la CNIL a permis de constater l’accès facile à plusieurs centaines de factures de clients de la société pouvant comprendre notamment des données de santé – correction ophtalmologique ou le numéro de sécurité sociale.
Informé des manquements manifestes au RGPD, Optical Center s’est alors rapproché de son prestataire afin de résoudre au plus vite la faille informatique.
Données personnelles : Sanctions et recours d’Optical Center
En 2015, Optical Center avait déjà été condamné par la CNIL au règlement de la somme de 50 000 euros pour différents manquements à la sécurisation des données des clients, confirmé sur recours par le Conseil d’Etat.
Etaient en cause le défaut de chiffrement des données circulant sur la plateforme – protocole http au lieu d’https, ainsi que l’absence dans un contrat de clause précisant les obligations d’un sous-traitant en matière de protection de la sécurité et de la confidentialité des données des clients.
L’absence de réaction suite la mise en demeure par la CNIL ainsi que les «Â manque de coopération et résistance de la société lors de l’instruction » ont notamment motivé la condamnation.
Contestant cette nouvelle sanction, Optical Center a manifesté son souhait de faire à nouveau un recours devant le Conseil d’Etat arguant notamment qu’aucun client n’a subi de préjudice et Optical Center aucune erreur ».
Retrouvez notre présentation des voies de recours contre les sanctions de la CNIL.
Conseil d’Etat : confirmation de la sanction et réduction de la peine
Mise à jour 2019. Par une décision du 17 avril 2019, le Conseil d’Etat confirme le principe de la sanction prononcée par la Cnil contre Optical Center pour manquement à son obligation de sécurité. Elle réduit le montant de la somme infligée de 50 000 €, passant de 250 000 € à 200 000 €.
Pour justifier cette réduction, le Conseil d’Etat met en avant l’absence de la part de la CNIL de la réactivité d’Optical Center pour corriger les manquements constatés dès leur notification. Il en a conclu que la Commission avait prononcé une sanction disproportionnée.
« Lorsque la CNIL constate des manquements à l’obligation d’assurer la sécurité et la confidentialité des données, il lui appartient, pour prononcer une sanction sous le contrôle du juge, de tenir compte de la nature, de la gravité et de la durée de ces manquements, mais aussi du comportement du responsable du traitement à la suite de ce constat.
En retenant une sanction pécuniaire d’un montant de 250 000 euros sans prendre en compte la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée.
Il sera fait une juste appréciation des circonstances de l’espèce en ramenant cette sanction pécuniaire à un montant de 200 000 euros.
8. Les motifs de la présente décision n’impliquent pas qu’il soit enjoint à la CNIL d’accomplir d’autres diligences. Au demeurant, la mention du constat par la CNIL de la mise en conformité du site litigieux est portée sur le site Légifrance et sur le site de la CNIL avec la publication de la décision attaquée.
Toutefois, la présente décision, qui réforme la sanction pécuniaire infligée à la société Optical Center, implique que la CNIL en fasse une mème publication ».