Le Conseil d’Etat a réduit la sanction pécuniaire prononcée à l’encontre de la société Optical Center en considération de la célérité avec laquelle la société a remédié au défaut de sécurisation de son site internet.

Par une délibération n° 2018-002 du 7 mai 2018, la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) a prononcé une sanction pécuniaire d’un montant de 250.000 € à l’encontre de la société Optical Center, estimant que celle-ci avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.

Le manquement d’Optical Center à son obligation de sécurité

En l’espèce, le site www.optical-center.fr n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société.

La société a demandé au Conseil d’Etat :

1°) d’annuler la délibération n° 2018-002 du 7 mai 2018 par laquelle la formation restreinte de la CNIL a prononcé à son encontre une sanction pécuniaire d’un montant de 250 000 euros et décidé de rendre publique sa délibération pendant une durée de 2 ans à compter de sa publication ;

2°) à titre subsidiaire, de réduire significativement le montant de la sanction pécuniaire ;

3°) d’enjoindre à la CNIL de prononcer la clôture de la procédure, de préciser qu’elle a pu constater le 9 août 2017 que le site litigieux était en conformité, d’indiquer que sa décision du 7 mai 2018 a été prononcée sur des faits antérieurs à l’entrée en vigueur du « RGPD » et de publier ces éléments dans les mêmes conditions de publication que sa décision initiale ;

4°) de mettre à la charge de la CNIL la somme de 6 000 euros au titre de l’article L. 761-1 du code de justice administrative.

La sanction CNIL disproportionnée au regard de la rapidité de la société à corriger son manquement à l’obligation de sécurité

Elle a avancé que la CNIL avait pu constater le 9 août 2017 que le site litigieux était mis en conformité et que sa décision du 7 mai 2018 avait été prononcée sur des faits antérieurs à l’entrée en vigueur du Règlement général sur la protection des données (RGPD).
Par un arrêt du 17 avril 2019, le Conseil d’Etat réforme la délibération de la CNIL en ramenant le montant de la sanction à 200.000 €. Il considère qu’en retenant une sanction pécuniaire d’un montant de 250.000 € sans prendre en compte la célérité avec laquelle la société avait apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée.