IT and data

Cyber/faille de sécurité - Le Conseil d'Etat français confirme la décision de la CNIL contre Optical Center (250.000 Euros d'amende)

Publié le 2nd May 2022

La société Optical Center a subi une cyber-attaque de son site de e-commerce en janvier 2019 qui a donné lieu à plusieurs plaintes de prospects et de clients de cette société auprès de la Commission Nationale de l'Informatique et des Libertés (la « CNIL » – autorité française de protection des données). La CNIL a mené à la fois des investigations en ligne et sur place qui ont finalement conduit au prononcé d’une amende de 250.000 Euros à l’encontre d’Optical Center ainsi qu'à une obligation de se conformer aux obligations du Règlement Général sur la Protection des Données (RGPD) en matière de sécurité (art. 32 du RGPD) et aux obligations relatives à l’exercice des droits des personnes concernées (art 12.2 du RGPD). Ces obligations étaient assorties d’une astreinte de 500 euros par jour de retard à l'issue d'un délai de trois mois suivant la notification de sa décision.

Le 26 avril 2022, le Conseil d'Etat a confirmé la décision de la CNIL.
 

C'est la troisième fois qu'Optical Center est condamnée par la CNIL, toutefois, dans une précédente décision de 2018, le Conseil d'État avait diminué le montant de l’amende prononcée par la CNIL de 250.000 à 200.000 Euros.
 
En l'espèce, la faille de sécurité provenait de manquements d’un sous-traitant d'Optical Center. Le Conseil d'Etat a constaté un manque de contrôle régulier du sous-traitant par Optical Center et il en est résulté une fuite des données de près de 200 000 clients, dont, pour 23 000 d'entre eux, une fuite de leur numéro de sécurité social.
 
Quels sont les principaux enseignements de cette décision ?
 

  • La sécurité et la cyber-sécurité sont des processus continus qui doivent être une priorité absolue

 
Le Conseil d'Etat a suivi le raisonnement de la CNIL selon lequel Optical Center aurait dû contrôler régulièrement les mesures de sécurité techniques et organisationnelles mises en œuvre par son sous-traitant chargé d'assurer la sécurité du site internet. La décision relève qu’Optical Center n'était pas en mesure de justifier de la mise à jour régulière des différents logiciels et programmes composant le site internet.

De plus, les mots de passe n'étaient pas assez robustes au regard de la sensibilité des données en jeu (notamment le numéro de sécurité social). 
 
La CNIL et l'Agence Nationale pour la Sécurité des Systèmes d'Information (ANSSI) ont publié des directives détaillées concernant les mesures de sécurité à mettre en œuvre. Ces lignes directrices englobent des mesures techniques, organisationnelles et juridiques que toute entreprise doit mettre en œuvre pour assurer la sécurité des données qui lui sont confiées et prévenir une attaque cyber.
 
Une fois mises en œuvre, les pratiques de sécurité doivent être régulièrement auditées et constamment mises à jour. Cette décision rappelle qu'un responsable de traitement ne peut pas entièrement déléguer les questions de sécurité à ses sous-traitants. Il doit être proactif et vérifier que son sous-traitant utilise des outils et les mesures de sécurité appropriés et les mets régulièrement à jour.
 

  • La CNIL peut prononcer une amende sans mise en demeure préalable

 
Même si Optical Center avait elle-même notifié à la CNIL la violation de données et avait commencé à prendre des mesures correctrices, le Conseil d'Etat a confirmé que la CNIL peut prononcer une amende sans mettre préalablement en demeure un responsable de traitement de mettre en conformité ses traitements de données par rapport aux exigences du RGPD. Ceci est conforme à la lettre de la loi Informatique et Libertés du 6 janvier 1978 modifiée. Cette possibilité est notamment utilisée par la CNIL dans les cas de violation de données.

A noter : la loi Informatique et Liberté a été modifiée début 2022 pour introduire une procédure de sanction simplifiée et accélérée en cas de dossiers simples où le montant de l'amende est faible. Le président de la commission restreinte de la CNIL peut alors agir seul sans audition publique du défenseur, à moins que celui-ci ne demande à être entendu.
 

  • La CNIL dispose d'un pouvoir quasi discrétionnaire dans l'appréciation du quantum de l'amende, qui peut être modulé par le juge administratif

 
Contrairement à d'autres juridictions européennes, il n'existe pas de lignes directrices ou de barèmes spécifiques sur les sanctions qui peuvent être infligées par la CNIL en fonction des obligations du RGPD qui peuvent être violées.
 
Le Conseil d'État rappelle que les sanctions, doivent être « effectives, proportionnées et dissuasives » et le Conseil d’Etat rappelle les différents critères de l'article 83 du RGPD (nature, gravité et durée du manquement, intention, coopération de la partie défenderesse etc..) qui sont pris en compte par la CNIL.

En l'espèce, même si la violation n'était pas intentionnelle et même si la partie défenderesse a pleinement coopéré avec la CNIL, Optical Center a fait preuve selon la Cour d'une négligence durable s'agissant de la protection des droits des personne et cette négligence a conduit à la faille de sécurité et la divulgation des données. 
 
Étant donné que la société avait déjà été sanctionnée deux fois et compte tenu de son chiffre d'affaires de 202 millions d’Euros en 2017, le Conseil d'État a estimé que la sanction de la CNIL de 250.000 Euros n'est pas disproportionnée (le montant de l’amende représente 0,12% du chiffre d'affaires annuel alors que le montant maximale de l’amende peut aller jusqu’à 4% du chiffre d’affaires). Le Conseil d'État a vérifié et confirmé que la CNIL avait pris en compte les critères du RGPD pour imposer son amende et que cette amende n'est pas « disproportionnée ».

Cette décision s’inscrit dans la lignée de décisions récentes du Conseil d’Etat, celui-ci ayant adopté cette approche et ayant confirmé les sanctions prononcées par la CNIL.
 

 
 
 

 

Suivre
Interested in hearing more from Osborne Clarke?
Register now for more insights, news and events from across Osborne Clarke
Sign up
Related articles
Cyber-attaque : Le dépôt d’une plainte dans les 72 heures devient obligatoire pour être indemnisé d’une cyber-attaque par son assureur
23/03/2023 2 mins
QR Codes, Pass Sanitaire, TousAntiCovid : la technologie au service de la lutte contre la pandémie de Covid-19
01/06/2021 9 mins
EU Data Governance Act | Creating European regulation for the data ecosystem
02/12/2020 6 mins
La CNIL adopte ses lignes directrices définitives sur les cookies
09/10/2020 4 mins

* This article is current as of the date of its publication and does not necessarily reflect the present state of the law or relevant regulation.

Contacter nos experts

Interested in hearing more from Osborne Clarke?
Register now for more insights, news and events from across Osborne Clarke
Sign up