Obligation de sécurité : une sanction Cnil disproportionnée

Le Conseil d’État réduit une sanction Cnil disproportionnée, pour réaction rapide de la société à corriger son manquement à l’obligation de sécurité.

Le manquement d’Optical Center à son obligation de sécurité

A la suite d’un signalement rapportant que les données personnelles des clients étaient librement accessibles sur le site d’Optical Center, la Cnil a procédé à des vérifications en ligne afin de déterminer si la société avait manqué à son obligation de sécurité prévue par l’article 34 de la loi du 6 janvier 1978.

Elle a constaté qu’il était possible d’accéder librement à des factures contenant les nom, prénom, adresse postale, correction ophtalmologique, date de naissance et numéro de sécurité sociale de nombreux clients, puisque le site n’intégrait pas de fonctionnalité permettant de vérifier qu’un client s’était bien authentifié à son espace personnel avant de lui donner accès à ses factures et bons de commande, lesquels pouvaient contenir des données sensibles. Cette faille permettait donc d’accéder aux factures et bons de commande d’autres clients en modifiant la variable de l’URL correspondant à sa facture sur le site Internet de la société.

La sanction Cnil disproportionnée au regard de la rapidité de la société à corriger son manquement à l’obligation de sécurité

Par une délibération, rendue publique, du 7 mai 2018, la Cnil a infligé à Optical Center la sanction de 250 000 euros pour manquement à son obligation de sécurité des données personnelles.

Toutefois, deux jours après avoir été alertée par la Cnil, la société a ajouté une fonctionnalité permettant de s’assurer qu’un client était effectivement connecté à son espace personnel avant de lui fournir les seuls documents le concernant.

Statuant sur le recours en annulation d’Optical Center, le Conseil d’Etat, dans sa décision du 17 avril 2019, confirme le principe de la sanction mais la réduit au motif que la Cnil n’a pas pris en compte la rapidité avec laquelle Optical Center a pris les mesures destinées à corriger les manquements constatés à son obligation de sécurité.

Par conséquent, le Conseil d’Etat a jugé que la Cnil a prononcé une sanction disproportionnée et l’a réduit à 200 000 euros.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Délibération de la formation restreinte n° SAN-2018-002 du 7 mai 2018 prononçant une sanction pécuniaire à l’encontre de la société OPTICAL CENTER

(2) Conseil d’État, 10ème – 9ème chambres réunies, 17 avril 2019, 422575.