Le Conseil d’État valide la proportionnalité d’une sanction de la Cnil

proportionnalité d'une sanction de la CnilLe Conseil d’État confirme la proportionnalité d’une sanction de la Cnil infligée à une association pour manquement à l’obligation de sécurité.

Manquement à l’obligation de sécurité

L’article 45 de la loi Informatique et libertés, aujourd’hui modifiée, mais dans sa rédaction applicable au litige, prévoit que la formation restreinte de la Cnil peut infliger une sanction pécuniaire, au responsable d’un traitement ne respectant pas ses obligations relatives aux données personnelles, après mise en demeure.

L’article 47, dans sa rédaction antérieure, prévoit, quant à lui, la nécessité d’une sanction proportionnée en ces termes : « Le montant de la sanction pécuniaire prévue au I de l’article 45 est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la Commission nationale de l’informatique et des libertés prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission ».

En l’espèce, la Cnil, alertée d’un défaut de sécurité permettant à des tiers non autorisés d’accéder aux données personnelles de personnes sollicitant les services de l’association pour le développement des foyers (Adef), avait infligé une sanction pécuniaire à ladite association d’un montant de 75 000 euros, en vertu des pouvoirs que lui confère la loi Informatique et libertés du 6 janvier 1978.

En effet, en modifiant les URL correspondants aux formulaires en ligne de demande de logement pour les bénéficiaires de l’association, un tiers pouvait accéder aux documents téléchargés par les demandeurs de logement et contenant des données personnelles (avis d’imposition, bulletin de salaire et justificatifs d’identité).

Après plusieurs mises en demeure, la Cnil avait effectué un contrôle sur place et sur pièces et constaté la persistance du problème de sécurité.

Si le défaut de sécurité a finalement été corrigé une semaine après le contrôle de l’Autorité administrative indépendante, la Cnil a néanmoins infligé la sanction pécuniaire de 75 000 euros à l’association, en raison d’une part de la gravité du manquement et d’autre part de son manque de diligence à le corriger.

L’association faisait valoir au soutien de son recours, l’absence de sanction proportionnée.

Proportionnalité d’une sanction de la Cnil

Dans sa décision du 17 avril 2019 (1), le Conseil d’État a considéré que « eu égard à la nature et à la gravité du manquement constaté qu’il aurait été possible de prévenir par des mesures simples de sécurité, comme l’occultation des chemins d’accès aux dossiers enregistrés ou l’authentification des utilisateurs du traitement, aux moyens importants dont dispose l’association et au délai avec lequel elle a apporté les mesures correctrices de nature à remédier à ce manquement, la formation restreinte de la Cnil a infligé à l’Adef une sanction proportionnée ».

Il constate ainsi, qu’en dépit de la mise en conformité de l’association, celle-ci était arrivée trop tardivement, et juge alors que la sanction de 75 000 euros infligée à cette association était une sanction proportionnée aux motifs qu’elle disposait notamment de moyens importants pour mettre en œuvre des mesures simples pour corriger le manquement à son obligation de sécurité, susceptibles d’être mises en œuvre dans un délai suffisant.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Conseil d’État, 10-9èmes chambres réunies, 17 avril 2019, n°423559.

image_pdfimage_print