Par une délibération du 7 mai 2018, la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) a prononcé une sanction pécuniaire dun montant de 250.000 à l’encontre de la société Optical Discount, estimant que celle-ci avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de larticle 34 de la loi Informatique et Libertés.
En lespèce, le site www.optical-center.fr nintégrait pas de fonctionnalité permettant de vérifier quun client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple daccéder aux documents dun autre client de la société.
La société a demandé au Conseil d’Etat l’annulation de cette décision et d’enjoindre à la Cnil de prononcer la clôture de la procédure. Elle soutenait que la Cnil avait pu constater le 9 août 2017 que le site litigieux était mis en conformité et que sa décision du 7 mai 2018 avait été prononcée sur des faits antérieurs à l’entrée en vigueur du Règlement général sur la protection des données (RGPD).
Par un arrêt du 17 avril 2019, le Conseil dEtat réforme la délibération de la Cnil en ramenant le montant de la sanction à 200.000 . Il considère qu’en retenant une sanction pécuniaire d’un montant de 250.000 sans prendre en compte la célérité avec laquelle la société avait apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la Cnil a infligé à cette société une sanction disproportionnée.