18 / 10 / 2021

En 2015, la Cnil (Commission nationale informatique et libertés) a prononcé une sanction de 50 000 euros à l’encontre de la société Optical Center au motif que celle-ci n’a pas suffisamment assuré la sécurité et la confidentialité des données de ses clients. Le 19 juin, le Conseil d’Etat a confirmé cette décision, en limitant cependant dans le temps, à 2 ans, sa publication nominative en ligne.

 

Le Conseil d’Etat a estimé que la sanction pécuniaire infligée par la Cnil était à la fois prononcée dans le respect des procédures et justifiée. Entre autres arguments, la société Optical Center assurait s’être mise en conformité avec la première mise en demeure transmise par la Cnil en décembre 2014. Celle-ci lui demandait de « mettre en œuvre un chiffrement du canal de communication et une authentification du site distant (par exemple en utilisant le protocole  ‘https’ ) lors de l’accès au site web, que ce soit au stade de l’authentification des clients ou au stade du renseignement et de la validation du formulaire de collecte des données aux fins de création du compte ». Le Conseil d’Etat affirme cependant que l’instruction a montré que la zone de saisie de l’identifiant et du mot de passe pour accéder au compte client depuis la page d’accueil, n’était pas accessible depuis une page web sécurisée par le protocole ‘https’. « C’est donc à bon droit que la formation restreinte de la Cnil a estimé que la société n’avait pas, à l’expiration du délai fixé par la mise en demeure, remédié efficacement aux manquements constatés relatifs à la sécurité des données », explique-t-il dans sa décision du 19 juin 2017.

 

La publication sans borne temporelle est « une sanction complémentaire excessive »

De la même manière, les Sages n’ont pas estimé que la sanction de 50 000 euros était disproportionnée « eu égard à la nature, à la gravité et à la persistance des manquements constatés ». Ils ont également jugé que sa publication sur le site de la Cnil et celui de Légifrance était justifiée. Seul bémol : en ayant omis de fixer la durée pendant laquelle cette publication resterait accessible de manière non anonyme sur ces deux sites, la Cnil a infligé à Optical Center « une sanction complémentaire excessive car sans borne temporelle ». Et ce, même si la Commission assure que toutes les décisions du même type sont anonymisées sur les deux sites à l’expiration du délai de 2 ans. Le Conseil d’Etat a ainsi décidé de maintenir la sanction pécuniaire, qui « sera publiée de manière non anonyme sur le site internet de la Cnil et sur celui de Légifrance pendant deux années ».