Confirmation partielle de la sanction de la Cnil contre Optical Center

Actualités Legalnews ©

Saisie de la plainte d’une cliente d’un vendeur de lunettes, la Commission nationale de l’informatique et des libertés (Cnil) a diligenté une mission de contrôle sur place auprès de la société. Plusieurs manquements aux dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ayant été constatés, la présidente de la Cnil a mis en demeure la société de se conformer à ces dispositions.
Une seconde mission de contrôle a révélé que plusieurs des engagements pris par la société dans sa réponse écrite n’avaient pas été suivis d’effets. La Cnil a donc engagé à son encontre une procédure de sanction et, par une délibération du 5 novembre 2015, lui a infligé une sanction pécuniaire publique.

Dans sa décision du 19 juin 2017, le Conseil d’Etat rappelle qu’il résulte de l’article 45 de la loi du 6 janvier 1978 susvisée que la Cnil ne peut faire usage des pouvoirs de sanction qui lui sont dévolus qu’après avoir mis en demeure le responsable du traitement de respecter les obligations qui lui sont imposées par les textes législatifs et réglementaires, et faute pour l’intéressé de s’être conformé à cette mise en demeure dans le délai imparti à cet effet. L’autorité investie du pouvoir de sanction doit donc apprécier, à la date à laquelle ce délai a expiré, si la personne à l’encontre de laquelle la mise en demeure a été prononcée s’y est, en tout ou partie, conformée.
En l’espèce, la société n’avait pas, à l’expiration du délai fixé par la mise en demeure, remédié efficacement aux manquements constatés relatifs à la sécurité des données et les obligations pesant sur la société sous-traitante en matière de protection de la sécurité et de la confidentialité des données étaient méconnues.
Le Conseil d’Etat valide donc la délibération de la Cnil en ce qu’elle prononce une sanction pécuniaire publique.

Toutefois, la Haute juridiction administrative rappelle que lorsque la Cnil prononce une sanction complémentaire de publication de sa décision de sanction, celle-là se trouve nécessairement soumise, et alors même que la loi ne le prévoirait pas expressément, au respect du principe de proportionnalité. 
En l’espèce, la délibération attaquée ne fixe pas la durée de maintien de la publication de la sanction sur le site internet de la Cnil et sur le site Légifrance, laissant cette dernière accessible de manière non anonyme sur ces deux sites. Le Conseil d’Etat estime que la Cnil a infligé une sanction complémentaire excessive car sans borne temporelle et que le maintien en ligne de la sanction non anonymisée sur les deux sites considérés doit être limitée à deux ans.