Compte-tenu du caractère exponentiel de l’évolution du montant des sanctions pouvant être prononcées par la Cnil (Commission nationale de l’informatique et des libertés), les recours devant le Conseil d’Etat pour contester les décisions de cette dernière et remettre en cause la proportionnalité des montants des sanctions prononcées risquent de se multiplier (et ce d’autant que, depuis l’entrée en application du Règlement général sur la protection des données (RGPD), ces sanctions peuvent désormais s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial). C’est ce contentieux de la proportionnalité du montant des sanctions prononcées par la Cnil que viennent illustrer deux décisions récentes du Conseil d’Etat (bien que rendues sous l’empire de la réglementation applicable en matière de protection des données à caractère personnel avant l’entrée en application du RGPD), apportant des précisions opportunes sur les critères pris en compte pour apprécier la (dis)proportionnalité de telles sanctions.
Des défauts de sécurisation de sites internet sanctionnés par la Cnil
Par deux délibérations distinctes du 21 juin 2018, , la Cnil a respectivement sanctionné Optical Center et l’Association pour le Développement des Foyers (ADEF) sur le fondement d’un manquement à leur obligation de sécurité et de confidentialité des données à caractère personnel traitées par ces dernières.
Dans chacune de ces affaires, des contrôles menés par la Cnil avaient permis de révéler qu’une modification du chemin de l’URL affichée dans le navigateur pouvait permettre à un internaute d’accéder de manière non autorisée à des données à caractère personnel d’autres utilisateurs des sites internet respectifs d’Optical Center et de l’ADEF.
Dans la première affaire, le défaut de sécurisation du site internet d’Optical Center permettait à tout internaute connecté à son espace personnel en ligne sur le site web de cette dernière d’accéder à des centaines de factures d’autres clients de cette société, ces factures contenant des données telles que les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées. L’accès non autorisé concernait donc notamment des données d’une particulière sensibilité. La Cnil a condamné Optical Center à une amende de 250 000 euros considérant qu’Optical Center aurait dû porter une attention particulière à la question de la restriction d’accès aux documents des clients à partir de leur espace personnel. En effet, la mise en place d’une fonctionnalité permettant de vérifier qu’un internaute s’est bien authentifié à son espace personnel avant de lui donner accès à ses documents en ligne est une précaution d’usage essentielle et la Cnil a considéré qu’Optical Center ne pouvait ignorer les risques liés à un tel défaut de sécurisation de son site internet, et ce d’autant qu’une sanction de 50 000 euros avait déjà été prononcée à son égard en raison d’un défaut de sécurité en 2015.
Dans la seconde affaire, le défaut de sécurisation du site internet de l’ADEF permettait à tout internaute d’accéder à des documents enregistrés par les personnes sollicitant les services de l’ADEF en vue de bénéficier d’un logement en résidences sociales ou en foyers : avis d’imposition, passeports, cartes d’identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF. La Cnil a condamné l’ADEF à une amende de 75 000 euros considérant que l’ADEF aurait dû mettre en place un dispositif permettant d’éviter la prévisibilité des URL (par exemple en utilisant des URL composées d’une chaîne de caractères aléatoires et ne comportant pas la dénomination de la pièce fournie par la personne telle que « carte-identité », « cni » ou « avis imposition ») et qu’elle aurait dû prévoir une procédure d’identification ou d’authentification des utilisateurs de son site internet afin de protéger les documents téléversés par les demandeurs. Cette décision vient d’ailleurs rappeler que la réglementation applicable en matière de protection des données à caractère personnel s’applique à tout organisme mettant en œuvre un traitement de telles données, y compris aux associations à but non lucratif.
Contrôle de la proportionnalité du montant des sanctions par le Conseil d’Etat
Dans les affaires précitées, chacun des organismes mis en cause a formé un recours devant le Conseil d’Etat contre ces décisions de condamnation, arguant notamment de la disproportion des sanctions prononcées par la Cnil.
Dans l’affaire mettant en cause Optical Center, le Conseil d’Etat a réformé la délibération de la Cnil en jugeant le montant de la sanction de 250 000 euros disproportionné, considérant que la Cnil aurait dû tenir compte, pour déterminer le montant de la condamnation, de la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés. En effet, Optical Center avait, deux jours après le contrôle de la Cnil, ajouté une fonctionnalité permettant de s’assurer qu’un client était effectivement connecté à son espace personnel avant de lui fournir en ligne les documents le concernant. En conséquence, le Conseil d’Etat a réduit le montant de la sanction prononcée à l’encontre d’Optical Center à 200 000 euros.
En revanche, dans l’affaire mettant en cause l’ADEF, le Conseil d’Etat a considéré que la sanction de 75 000 euros était proportionnée eu égard à la nature et à la gravité du manquement constaté et au délai avec lequel l’ADEF a apporté les mesures correctrices de nature à remédier à ce manquement, lesquelles n’ont été déployées qu’une semaine après le contrôle de la Cnil.
La réactivité de l’organisme contrôlé pour remédier au manquement comme critère de modulation des sanctions prononcées par la Cnil
L’article 47 de la loi Informatique et Libertés, telle qu’en vigueur au moment des faits dans les affaires susvisées, énonçait un certain nombre de critères permettant à la Cnil de déterminer le montant des sanctions à prononcer, étant précisé que celui-ci doit être proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. Ce montant prend en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par l’organisme pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la Cnil afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la Cnil.
C’est sur le fondement de ces critères, et en particulier du critère lié aux mesures prises par l’organisme contrôlé pour atténuer les dommages subis par les personnes concernées, et au degré de coopération de l’organisme contrôlé pour remédier au manquement et atténuer ses effets négatifs éventuels, que le Conseil d’Etat a donc pu apprécier la proportionnalité des sanctions prononcées par la Cnil dans les deux affaires susvisées.
Il est à noter que ces critères sont repris à l’article 83 du RGPD (applicable depuis le 25 mai 2018) parmi les critères que les autorités de contrôle doivent apprécier lors de la détermination du montant des sanctions administratives qu’elles peuvent prononcer en cas de manquement à la réglementation applicable en matière de protection des données à caractère personnel.
Précautions à prendre en cas de contrôle de la Cnil
Il résulte de ce qui précède qu’outre le déploiement de mesures techniques et organisationnelles appropriées pour assurer la sécurité des données à caractère personnel qu’il traite, ce qui constitue un préalable indispensable, tout organisme traitant de telles données se doit d’anticiper et d’être à même de réagir immédiatement suite à un éventuel contrôle de la Cnil qui révélerait des manquements à la réglementation applicable en matière de protection des données à caractère personnel, et ce afin de corriger sans délai lesdits manquements. En effet, comme l’illustrent les affaires précitées, la proactivité et le délai d’intervention de l’organisme contrôlé pour remédier aux manquements, et plus généralement sa bonne coopération, sont des critères pris en compte par la Cnil dans le cadre du prononcé d’une sanction, a minima s’agissant de la détermination de son montant.
En cas de recours devant le Conseil d’Etat portant sur la remise en cause de la proportionnalité de la sanction ainsi prononcée, ce dernier pourra également être amené à examiner ces critères pour déterminer si ladite sanction est en corrélation avec les manquements constatés et avec la réactivité de l‘organisme concerné, ainsi qu’à mettre en œuvre les mesures correctrices adéquates.
Ainsi, à la suite d’un contrôle de la Cnil, il est indispensable de déployer immédiatement les actions suivantes :
- analyser le procès-verbal établi par la Cnil à l’issue du contrôle et faisant état de toutes les informations recueillies par les agents de la Cnil et des constatations qu’ils ont réalisées ;
- identifier les éventuels manquements relevés et les solutions de correction ou a minima de contournement à mettre en œuvre pour y mettre fin sans délai ;
- documenter les nouvelles mesures ainsi déployées (par exemple, en mettant à jour la politique de sécurité des données à caractère personnel) ;
- vérifier de manière régulière la mise en œuvre de ces nouvelles mesures afin de s’assurer de leur effectivité et de leur efficacité.
Un tel process doit donc être anticipé et formalisé par tout organisme traitant des données à caractère personnel, par exemple dans une procédure interne dédiée ayant vocation à détailler les différentes étapes et actions précitées, afin d’être à même de réagir de manière opportune, pendant et à la suite d’un éventuel contrôle de la Cnil (mise en place d’une cellule de crise, identification des potentiels manquements relevés, détermination de mesures correctrices, établissement d’un plan d’actions, répartition des rôles et affectations des actions,…).
Par AGIL’IT – Pôle IT, Data protection et Télécoms
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate