08 Juin 2018 La première sanction publiée après l’entrée en application du RGPD est tombée. Elle est sévère.
Dans une décision datée du 7 mai 2018, le CNIL a infligé une sanction pécuniaire de 250.000€ à OPTICAL CENTER.
Cette décision a été publiée le 7 juin 2018, donc après l’entrée en application du RGPD. On peut penser que la CNIL a voulu envoyer un message de sévérité.
En février 2018, avant l’entrée en vigueur du RGPD, la présidente de la CNIL avait indiqué que la CNIL allait plutôt accompagner à la mise en conformité et pas sanctionner tout de suite les entreprises en retard. Mais la CNIL avait aussi précisé que les principes fondamentaux de la loi informatique et libertés restant inchangés, des vérifications « rigoureuses » auraient lieu.
La décision OPTICAL CENTER est dans cette tendance à la sévérité.
Fin juillet 2017, la CNIL est informée d’un problème d’accès au fichier client de la société d’optique. Ce défaut de sécurité a été immédiatement corrigé (en 3 jours).
La CNIL réalise ensuite une enquête et la section disciplinaire (la « formation restreinte ») est saisie et elle statue.
OPTICAL CENTER a fait valoir des arguments sur la validité de la procédure. Ils ont tous été rejetés par la CNIL, qui n’a pas trop l’habitude de les suivre.
C’est une douce litote, il semble qu’elle n’ait jamais annulé des poursuites de ses propres services. On comprend que ce soit difficile. C’est d’ailleurs un problème fondamental : comment demander à une institution d’être à la fois :
- Pouvoir réglementaire (la CNIL édicte des règles),
- Autorité consultée par l’Etat,
- Pouvoir de contrôle,
- De poursuite,
- De sanction ?
Mais l’enseignement le plus important est la sévérité de la sanction : une sanction pécuniaire de 250.000€ et la publication de la décision.
A l’époque des faits, entre la loi République Numérique et l’entrée en application du RGPD, la sanction pécuniaire était d’un montant maximum de 3.000.000€. et l’article 47 de la loi informatique et libertés (cité dans la décision) donnait les critères pour fixer la sanction.
Dans le RGPD, ces critères sont fixés à l’article 83. On retrouve à peu près les mêmes paramètres : la gravité de l’incident, si la violation de la loi a été commise par négligence ou pas, les mesures prises pour y mettre fin etc.
Quand on lit la décision, on peut penser qu’OPTICAL CENTER a été rapide pour résoudre le problème, que l’incident est dû à une négligence et il faisait valoir qu’aucune donnée de client n’avait été violée en réalité.
Pourtant, la CNIL est sévère : les données en cause sont des données sensibles (bien sûr, ce sont des données liées à l’optique des patients), et le nombre de personnes en cause est important (le nombre exact n’est pas précisé, pour des raisons de sécurité, justement).
Enfin, la CNIL se défend de tenir compte du passé de la société OPTICAL CENTER. Mais une précédente décision avait été rendue en 2015, et le conseil d’Etat l’avait validée en juin 2017. Juste avant le contrôle de l’été 2017… Même si la CNIL écrit exactement le contraire, c’est un élément qui a été sûrement été considéré pour décider du montant élevé de la sanction. D’ailleurs, le rapporteur (une sorte de procureur) l’avait écrit.
Bref, pour ceux qui pensaient que s’ouvrait une période de tolérance de la CNIL : Caramba, encore raté.
[bctt tweet= »La première sanction publiée après l’entrée en application du #RGPD est tombée. Pour ceux qui pensaient que s’ouvrait une période de tolérance de la CNIL : Caramba, encore raté. » username= »nm_avocats »]