Optical Center échoue à faire annuler une troisième sanction CNIL
Changer de monture
Le 03 mai 2022 à 07h09
7 min
Droit
Droit
La sanction infligée en 2021 n’avait pas été publiée par la CNIL, mais Optical Center a jugé opportun de contre-attaquer au Conseil d’État. Une réaction qui a révélé la décision initiale, motifs compris. Un risque d’effet Streisand où l’opticien voit sa requête rejetée, après avoir mis en cause l’impartialité du rapporteur.
Inutile de chercher sur Légifrance ou le site de la CNIL : la décision prise par la CNIL en 2021 n’a jamais été publiée, comme le permet l’une des facultés offertes par le RGPD aux autorités de contrôle.
Ce 26 avril, un contentieux ouvert par Optical Center au Conseil d’État a néanmoins fait sortir du bois cette décision du 6 janvier 2021. En lisant l’arrêt, on apprend que deux ans plus tôt, Optical Center avait signalé à la CNIL une attaque informatique visant son site.
Une attaque accompagnée de plusieurs dépôts de plaintes de clients (pour un motif non précisé par l'arrêt). Entre février et mai 2019, la CNIL avait procédé dans la foulée à plusieurs contrôles, notamment sur place, pour dénicher plusieurs indélicatesses avec l’article 12 du RGPD, relatif au droit d’accès et au droit d’opposition et surtout à l’article 32, portant sur l’obligation de sécurité des traitements de données à caractère personnel.
La lecture de la décision du Conseil d’État vaut le détour.
Violation de données de 200 000 clients européens
Le RGPD exige des responsables de traitement la mise en œuvre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », bien entendu en l’état de l’art et du contexte (« compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques »).
Pour le cas présent, la faille à l’origine du signalement par Optical Center a entraîné « la violation des données de près de 200 000 clients européens », relate avec un luxe de détails le Conseil d’État. Et son instruction l’assure, cette défaillance « est la conséquence directe de l'absence de mise en œuvre par la société Optical Center d'un contrôle régulier sur les mesures techniques et organisationnelles prises par son sous-traitant chargé d'assurer la sécurité de son site web ».
On apprend ainsi qu' « aucun document produit » n’a permis de « justifier de la mise à jour régulière des différents composants logiciels du site ». Ce n’est pas tout, puisqu’est épinglé un « manque de robustesse de la politique de mots de passe de la société eu égard aux catégories de données traitées qui incluent notamment le numéro de sécurité sociale de ses clients ». Cette défaillance « a accru l'exposition de son système à un risque d'attaque informatique ».
Autre problème pris en compte par la CNIL : les adresses électroniques placardées sur le site web de la société « destinées à recueillir les demandes relatives à l'exercice des droits conférés à la personne » étaient tout simplement « erronées ». Le Conseil d’État relève que le spécialiste des lunettes a mis 6 mois pour réparer ce « dysfonctionnement », et encore, « postérieurement au contrôle diligenté par les services de la CNIL ».
La mise en œuvre de ces droits n’était pas davantage simplifiée en raison d'une autre caractéristique elle aussi mise en cause par l’autorité : cette « procédure d'exercice de ces mêmes droits dans le cadre des opérations de prospection commerciale effectuées par voie postale par un prestataire de la société Optical Center ne permettait pas de faciliter les démarches des personnes concernées, en l'absence de transmission directe des demandes de droit d'accès du responsable de traitement à son prestataire ».
Quand Optical Center scrute le compte Facebook du rapporteur
Optical Center a malgré tout tenté de désamorcer les problèmes en réclamant l’annulation de toute la procédure ou à tout le moins une réduction de la sanction, jugeant celle-ci disproportionnée.
Elle a aussi jugé opportun de se focaliser sur les propos (non détaillés) du rapporteur de la Commission sur son compte Facebook personnel. Pour la société, l’intéressé aurait manqué « à ses devoirs d'impartialité et d'indépendance, avec pour conséquence que cette entreprise s'est vue infliger une lourde sanction financière ». Elle a même déposé une question préjudicielle, non sans suggérer avoir fait l’objet d’une procédure inéquitable.
Les arguments n’ont pas prospéré devant le Conseil d’État. Certes, « les sanctions infligées par la formation restreinte de la CNIL » s’appuient sur la base d’un rapport établi par l'un des membres de la CNIL, cependant « il résulte de l'instruction que ni les prises de position politiques exprimées par M. Pellegrini, rapporteur désigné par la CNIL, sur son compte Facebook, librement accessible, ni le fait qu'il ait déjà été désigné comme rapporteur d'une précédente procédure de sanction contre la société Optical Center, ne révèlent, dans les circonstances de l'espèce, un parti pris défavorable à cette dernière ».
C’est sans doute une première, certes vaine, dans l’histoire des délibérations où une société épinglée par la CNIL scrute les comptes des réseaux sociaux d’un rapporteur pour mettre en doute son impartialité, et le Conseil d’État jauge ces sorties publiques.
Une sanction de 250 000 euros validée par le Conseil d’État
Sans surprise, la juridiction confirme que la présidente de la CNIL avait la possibilité de saisir directement la formation restreinte sans mettre préalablement en demeure la société, comme la loi de 1978 modifiée l’y autorise, mais que contestait la société.
Elle confirme tout autant le montant de la sanction infligée : si la société n’a « pas commis intentionnellement les manquements reprochés et avait activement coopéré avec ses services, elle a néanmoins méconnu deux obligations élémentaires en matière de sécurité informatique et a fait preuve d'une négligence durable s'agissant de la protection des droits des personnes. »
La sanction est bien à la hauteur des problèmes découverts par la CNIL et de la situation de l’entreprise : « ces manquements se sont traduits par la violation des données à caractère personnel de plus de 200 000 personnes et le dysfonctionnement du dispositif permettant l'exercice du droit d'accès de plusieurs centaines de milliers de prospects ou clients, et que les catégories de données qui ont fait l'objet de l'attaque informatique révèlent des informations personnelles telles que les nom, prénom, adresse, numéro de téléphone, adresse électronique, date de naissance, et, pour 23 000 d'entre elles, le numéro de sécurité sociale ».
La CNIL et le Conseil d’État se sont souvenus qu’Optical Center « avait été sanctionnée à deux reprises au cours des cinq dernières années pour des manquements à la sécurité des données à caractère personnel et un manquement lié à la sous-traitance de ses traitements de données ».
La société avait ainsi déjà été épinglée en 2015 puis en 2018 avec respectivement une amende de 50 000 euros puis de 250 000 euros, ramenée à 200 000 euros par le Conseil d’État.
« La formation restreinte de la CNIL n'a pas, en retenant un montant de 250 000 euros, infligé une amende disproportionnée à la société Optical Center » conclut cette fois le Conseil d’État. Il a pris en compte le chiffre d'affaires de la société, 202 millions d'euros en 2017, quand le RGPD fixe le plafond des sanctions jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires.
Optical Center échoue à faire annuler une troisième sanction CNIL
-
Violation de données de 200 000 clients européens
-
Quand Optical Center scrute le compte Facebook du rapporteur
-
Une sanction de 250 000 euros validée par le Conseil d’État
Commentaires (12)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 03/05/2022 à 09h24
Un multi-récidiviste qui ne veut changer ses pratiques …
Espérons que cette troisième fois sera la bonne.
Le 03/05/2022 à 09h28
Tel est pris qui croyait prendre !
Le 03/05/2022 à 10h06
Maintenant nous sommes tous au courant.
Merci Optical Center de nous avoir ouvert les yeux.
Le 03/05/2022 à 10h49
Streisandés par le Conseil d’État, la marque des professionnels
Le 03/05/2022 à 11h36
Comment on peut tomber bas quand on a de la fierté mal placée.
Ils ont du se penser dans l’ère du temps quand ils sont allés appuyer une procédure sur la base de “nan mais regardez son facebook il nous aime pas”
L’adresse mail sur les droits des données qui n’était pas bonne… au delà des compétences, pour éviter ce genre de chose il faut mettre quelqu’un au contrôle qualité et qu’on lui donne les moyens de le faire (du temps… qu’on le prenne au sérieux…)
On peut aussi choisir d’accepter l’erreur, mais c’est pas leur cas car ils sont repartis en justice.
Le 03/05/2022 à 15h30
Triste constat qu’en 2022, la sécurité informatique est toujours ignorée, avec les conséquences systématiques que l’on connait. Il faudrait des jugements bien plus exemplaires pour espérer relever la barre d’un petit cran …
Le 03/05/2022 à 18h02
Effectivement, 4% ça fait 8milions d’€ les 200k à côté c’est anecdotique !
Le 04/05/2022 à 10h06
avec 0.1% du chiffre d’affaire, on est loin de la sanction “dissuasive” que mériterait un multirécidiviste
Le 04/05/2022 à 14h43
On voit le sérieux du groupe… Merci pour l’article !
Le 04/05/2022 à 20h49
Les mêmes qui envoient des courriers (physiques, par la Poste) non demandés…
Je n’ai jamais mis les pieds chez eux. Pourtant, après que je sois parti de chez mes parents, ils se sont mis à m’envoyer des courriers publicitaires. Mais à leur adresse. Ca a démarré en 2012, le dernier que j’ai recu, c’était fin de l’an dernier. Je n’ai jamais compris pquoi ils m’envoyaient ces courriers (ni pquoi chez mes parents), aussi longtemps vu que je n’y suis jamais allé, et que je ne compte pas le faire un jour.
Le 05/05/2022 à 06h27
Achat de données personnelles à coup sûr (mutuelle qui moucharde ?). Moi aussi j’ai déjà reçu des courriers nominatifs de leur part, et ils finissent dans le bac à prospectus qu’on a mis dans le hall des BAL de la copropriété qui est vidé par la société de ménage lorsqu’ils sortent les containers.
J’ai toujours du mal à comprendre la pertinence d’un tel gaspillage de ressources à notre époque.
Le 05/05/2022 à 07h39
Je n’ai jamais donné l’adresse de mes parents pour les trucs qui m’étaient destinés. C’est ca que je n’ai pas compris, comment ils ont fait ce lien
Ici c’est destructeur de papier et dépôt au tri ensuite.
La même. Surtout qu’avec le nombre d’opticiens rien qu’autour de moi, je ne vois pas pquoi j’irais à 15km (surtout avec des margoulins comme eux)…