Le Conseil d’État confirme la sanction prononcée par la CNIL à l’encontre d’Optical Center

La CNIL avait prononcé une amende de 250 000 euros à l’encontre d’Optical Center notamment pour des manquements à l’obligation de sécurité, constatés à la suite d’une attaque informatique. Le Conseil d’État a rejeté la requête en annulation formée par Optical Center.

Le site de vente en ligne de la société Optical Center avait fait l’objet d’une attaque informatique ayant donné lieu à la violation des données personnelles de plus de 200 000 personnes, et notamment de leur nom, prénom, adresse et numéro de sécurité sociale. 

La société avait procédé à la notification de cette violation de données auprès de la CNIL. Sur le fondement de cette notification, mais également de plusieurs plaintes de clients et prospects de la société, la CNIL avait procédé à plusieurs contrôles afin de vérifier la conformité des traitements mis en œuvre par Optical Center. 

Par une délibération du 6 janvier 2021, la formation restreinte de la CNIL avait prononcé une amende administrative de 250 000 euros à l’encontre d’Optical Center pour des manquements relatifs à l’obligation de sécurité et à l’exercice des droits d’accès et d’opposition par les personnes concernées. 

Cette sanction n’était pas assortie d’une mesure de publicité, mais d’une injonction de mise en conformité sous astreinte de 500 euros par jour de retard, à l’issue d’un délai de trois mois suivant la notification de la délibération.  

Optical Center avait saisi le Conseil d’État d’une requête en annulation, dans laquelle la requérante contestait les manquements allégués, la régularité de la procédure ayant conduit à la sanction, et à titre subsidiaire demandait la réduction du quantum de la sanction pécuniaire infligée.

Le Conseil d’État, dans une décision du 26 avril 2022, a rejeté la requête en annulation, confirmant la sanction de la CNIL qu’elle a ainsi rendue publique. 

La méconnaissance d’obligations élémentaires en matière de sécurité informatique

La CNIL avait tout d’abord retenu une violation à l’obligation de sécurité[1] qui impose au responsable de traitement de mettre en œuvre et de contrôler les mesures techniques et organisationnelles garantissant la sécurité des données. 

Le Conseil d’État a relevé que la formation restreinte de la CNIL avait constaté que la vulnérabilité du site Internet à l’origine de la violation était directement due :

  • à l’absence de contrôles réguliers des mesures techniques et organisationnelles prises par son sous-traitant et, 
  • au manque de robustesse de la politique de mots de passe au regard de la sensibilité des données traitées, notamment le numéro de sécurité sociale. 

Dès lors, le manquement à l’obligation de sécurité prévue par l’article 32 du RGPD était bien caractérisé. 

Une négligence durable dans la protection des droits des personnes

Lors de son contrôle, la CNIL avait également relevé des manquements relatifs au droit d’accès et au droit d’opposition[2]

En effet, les adresses électroniques communiquées sur le site d’Optical Center et censées permettre aux utilisateurs d’exercer leur droit d’accès et de s’opposer à la réutilisation de leurs données étaient erronées. Les personnes concernées n’étaient donc pas en mesure d’exercer leurs droits. 

Ce dysfonctionnement n’a été corrigé que six mois après sa survenance, et après le contrôle diligenté par la CNIL.  

Le Conseil d’État a conclu que la CNIL avait fait une juste application des dispositions du RGPD applicables et, a ainsi confirmé sa délibération. 

Une amende proportionnée dans son quantum

A défaut d’obtenir une annulation de la sanction, la requérante demandait une réduction du montant de l’amende qui lui avait été infligée. 

Le Conseil d’État a rappelé que les sanctions prononcées par la Commission doivent être « effectives, proportionnées et dissuasives » ainsi que les critères de fixation des amendes (nature, gravité, durée de la violation, violation délibérée ou négligence, etc.) [3]

En l’espèce, la CNIL avait retenu que les manquements étaient dus à une négligence durable en matière de protection des droits des personnes qui avait donné lieu à la faille de données personnelles et avait entravé le droit d’accès des clients et prospects. Elle prenait également en compte le fait qu’Optical Center avait déjà été sanctionnée à deux reprises, notamment pour des manquements de sécurité. 

Pour toutes ces raisons, le Conseil d’État a jugé que le quantum de l’amende prononcé par la formation restreinte était proportionné. 

Cette décision rappelle que le respect de l’obligation de garantir sécurité des données des personnes concernées suppose, outre la mise en œuvre de mesures de sécurité appropriées, un contrôle régulier de celles-ci. 

En cas de sous-traitance, le responsable de traitement doit également auditer les mesures techniques et organisationnelles prises par le sous-traitant chargé de la sécurité. 

Lire la décision du Conseil d’État du 26 avril 2022


[1] Article 32 du RGPD

[2] Articles 12 à 22 du RGPD

[3] Article 83 du RGPD

Ne manquez pas nos prochaines publications

Votre adresse email est traitée par FÉRAL afin de vous transmettre les publications et actualités du Cabinet. Vous pouvez vous désabonner à tout moment. Pour en savoir plus sur la manière dont sont traitées vos données et sur l’exercice de vos droits, veuillez consulter notre politique de protection des données personnelles.