Conseil d’Etat, 9ème et 10ème Chambres réunies, 17 avril 2019

Décision n° 422575, publiée au Recueil Lebon

Le 31 juillet 2017, une délégation de la CNIL a effectué des vérifications en ligne sur le site de la société OPTICAL CENTER, qui ont permis de constater qu’il était possible d’accéder librement, à partir des URL qui lui avaient été transmises, à des factures contenant les données à caractère personnel suivantes : le nom, le prénom, l’adresse postale, la correction ophtalmologique et, pour certaines d’entre elles, la date de naissance des clients ainsi que leur numéro d’inscription au répertoire national d’identification des personnes physiques (NIR).

La délégation a également constaté qu’il était possible, depuis le domaine « optical-center.fr » et sans authentification préalable dans l’espace client, d’exporter au format « CSV », un échantillon de 2085 fichiers correspondant, après suppression des doublons, aux données de 1207 clients et faisant notamment apparaître 158 NIR.

L’alerte ayant été donnée le jour même par la CNIL à la société OPTICAL CENTER, celle-ci a déclaré avoir corrigé avec son prestataire, dès le 2 août 2017, le défaut de sécurité affectant son site.

Lors d’un contrôle sur place effectué le 9 août 2017, la délégation de la CNIL a constaté l’adjonction d’une fonctionnalité permettant de s’assurer qu’un client est effectivement connecté à son espace personnel avant de lui fournir les seuls documents le concernant.

Par une délibération du 7 mai 2018, la formation restreinte de la CNIL a prononcé à l’encontre de la société OPTICAL CENTER, une sanction pécuniaire d’un montant de 250 000 euros et a rendu sa décision publique pendant une durée de 2 ans à compter de sa publication.

Le 25 juillet 2018, la société OPTICAL CENTER a formé un recours devant le Conseil d’Etat.

Par décision du 17 AVRIL 2019, le Conseil d’Etat a censuré (partiellement) la décision de la CNIL. L’arrêt du Conseil d’Etat s’articule en trois points.

1°) Contrôle de légalité de la procédure de sanction

Le Conseil d’Etat a rappelé qu’en application des dispositions de l’article 45, § I, de la loi du 6 janvier 1978 (modifiée, relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction applicable au litige issue de la loi du 7 octobre 2016 pour une République numérique), que la formation restreinte de la CNIL peut, sans mise en demeure préalable, sanctionner un responsable de traitement dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d’être régularisés, soit qu’ils soient insusceptibles de l’être, soit qu’il y ait déjà été remédié.

En l’espèce, le Conseil d’Etat estime qu’à la suite d’une mesure correctrice apportée le 2 août 2017, le manquement aux obligations de sécurité constaté par la mission de contrôle de la CNIL avait cessé et n’était dès lors plus susceptible de faire l’objet d’une régularisation. Il s’ensuit que c’est à bon droit que la formation restreinte de la CNIL a pu légalement, engager, sans procéder à une mise en demeure préalable, une procédure de sanction, à l’encontre de la société OPTICAL CENTER.

2°) Contrôle de la caractérisation de l’existence d’un manquement aux obligations légales de sécurité

Le Conseil d’Etat rappelle qu’en application de l’article 34 de cette même loi de 1978 : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

En l’espèce :

⬥ La haute juridiction administrative constate qu’il résulte de l’instruction, qu’avant sa mise en conformité à la suite de l’intervention de la CNIL, le site internet de la société OPTICAL CENTER, qui permet d’effectuer des commandes en ligne après avoir créé un compte dédié, n’intégrait pas de fonctionnalité permettant de vérifier qu’un client s’était bien authentifié à son espace personnel avant de lui donner accès à ses factures et bons de commande, lesquels pouvaient inclure des données sensibles, telles des données de santé ou des numéros NIR.

L’ensemble des données concernées, dans une base d’au moins 334769 documents, étaient donc accessibles sans contrôle préalable et sans qu’il soit besoin d’une maîtrise technique particulière, à tout client par la simple modification, lors de la consultation d’une facture ou d’un bon de commande, du paramètre « id », très visible, relatif à l’identifiant de la facture.

⬥ De plus, il ne résulte pas de l’instruction, que la société OPTICAL CENTER aurait pris des précautions de sécurité suffisantes en mettant en place un protocole de tests en amont de la mise en production de son site internet en décembre 2016 ou en établissant un programme d’audits de sécurité ultérieurs.

Le Conseil d’Etat en déduit que c’est à bon droit que la formation restreinte de la CNIL a caractérisé l’existence d’un manquement aux obligations de sécurité prévues par l’article 34 de la loi de 1978.

3°) Contrôle du caractère proportionné de la sanction pécuniaire, au regard de la célérité à remédier aux manquements constatés

Le Conseil d’Etat rappelle, qu’en application de l’article 47 de la loi du 6 janvier 1978, lorsque la CNIL constate des manquements à l’obligation d’assurer la sécurité et la confidentialité des données, il lui appartient, pour prononcer une sanction, sous le contrôle du juge, de tenir compte de la nature, de la gravité et de la durée de ces manquements, mais aussi du comportement du responsable du traitement à la suite de ce constat.

C’est sur ce point que le Conseil d’Etat réforme partiellement la décision de la CNIL, au motif qu’en retenant une sanction pécuniaire d’un montant de 250 000 euros sans prendre en compte la célérité avec laquelle la société OPTICAL CENTER a apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée.

Le Conseil d’Etat estime, par suite, qu’il sera fait une juste appréciation des circonstances de l’espèce, en ramenant cette sanction pécuniaire à un montant de 200 000 euros.

Mots Clé : Loi n° 78-17 du 6 janvier 1978 – Loi n° 2016-1321 du 7 octobre 2016 – Sécurité des données accessibles en ligne – Sécurisation d’un site internet – Formation restreinte de la CNIL – Responsabilité du Responsable du traitement des données (oui) – Manquements susceptibles d’être régularisés (non) – mise en demeure préalable par la CNIL (non) – contrôles préalables à l’accès aux données – précautions de sécurité en amont de la mise en production du site internet ou programme d’audits de mise en sécurité ultérieurs – Sanction pécuniaire – Disproportion de la sanction au regard de la célérité à remédier aux manquements constatés.