En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookie.
J'accepte.En savoir plus, paramétrer et ou s'opposer à ces cookies.
 
 

Les avocats du net

 
 


 

Jurisprudence : Jurisprudences

vendredi 23 juin 2017
Facebook Viadeo Linkedin

Conseil d’État, 10ème – 9ème ch. réunies, décision du 19 juin 2017

Optical Center / Cnil

cnil - confidentialité des données - données personnelles - obligation de sécurité - publicité de la décision - sanction pécuniaire

Par une requête sommaire, un mémoire complémentaire et deux mémoires en réplique, enregistrés les 11 janvier et 11 avril 2016 et les 5 avril et 22 mai 2017 au secrétariat du contentieux du Conseil d’Etat, la société Optical Center demande au Conseil d’Etat :

1°) d’annuler la délibération n° 2015-379 du 5 novembre 2015 par laquelle la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a prononcé à son encontre une sanction pécuniaire d’un montant de 50 000 euros et ordonné la publicité de sa délibération sur le site internet de la CNIL et sur celui de Légifrance ;

2°) de mettre à la charge de l’Etat la somme de 5 000 euros au titre de l’article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;

Vu :
– la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ;
– la loi n° 78-17 du 6 janvier 1978 ;
– le décret n° 2005-1309 du 20 octobre 2005 ;
– le code de justice administrative ;
Après avoir entendu en séance publique :
– le rapport de M. Jacques Reiller, Conseiller d’Etat,
– les conclusions de Mme Aurélie Bretonneau, rapporteur public ;
La parole ayant été donnée, avant et après les conclusions, à la SCP Boullez, avocat de la Société Optical Center ;

DISCUSSION

1. Il résulte de l’instruction que, saisie de la plainte d’une cliente de la société Optical Center, la Commission nationale de l’informatique et des libertés (CNIL) a diligenté le 22 juillet 2014 une mission de contrôle sur place auprès de la société. Plusieurs manquements aux dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ayant été constatés à 1’occasion de ce contrôle, la présidente de la CNIL a, par une décision du 9 décembre 2014, mis en demeure la société de se conformer, sous un délai d’un mois, à ces dispositions. A la suite de la réponse écrite de la société, une seconde mission de contrôle a été diligentée le 23 février 2015, laquelle a constaté que plusieurs des engagements pris par la société dans sa réponse écrite n’avaient pas été suivis d’effets. Après deux demandes de compléments et une audition sur convocation, la présidente de la CNIL, constatant qu’au vu des éléments ainsi recueillis, la société Optical Center n’avait pas complètement déféré à la mise en demeure du 9 décembre 2014, en particulier s’agissant de la sécurité et de la confidentialité des données à caractère personnel traitées, a engagé à son encontre une procédure de sanction. Par une délibération du 5 novembre 2015, la formation restreinte de la CNIL a infligé à la société Optical Center une sanction pécuniaire de 50 000 euros et a décidé de rendre cette sanction publique sur le site internet de la CNIL et sur le site de Légifrance.

Sur la régularité de la délibération attaquée :

2. En premier lieu, aux termes de l’article 3 du décret du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés,  » Les délibérations de la commission sont prises à la majorité absolue des membres présents ». Aux termes de l’article 70 du même décret,  » La formation restreinte ne peut valablement délibérer que si au moins quatre de ses membres, dont le président ou le vice-président, sont présents « . Contrairement à ce qui est soutenu, ni ces dispositions ni aucun principe n’impliquent que les décisions de la formation restreinte de la CNIL comportent des mentions indiquant le vote de chacun des membres ayant délibéré.

3. En second lieu, la délibération attaquée est suffisamment circonstanciée en fait comme en droit. Il s’ensuit que le moyen tiré de l’insuffisance de sa motivation ne peut qu’être écarté.

Sur le bien-fondé de la délibération attaquée :

4. Aux termes de l’article 34 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés,  » Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès « . Et aux termes de l’article 35 de la même loi :  » Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, d’une personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement.(…) Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement « .

En ce qui concerne le moyen tiré de la date à laquelle doit être caractérisée l’existence d’un manquement :

5. Aux termes de l’article 45 de la loi du 6 janvier 1978, dans sa version applicable à l’espèce :  » Lorsque le responsable d’un traitement ne respecte pas les obligations découlant de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut le mettre en demeure de faire cesser le manquement constaté dans un délai qu’il fixe…[ Si le responsable du traitement ne se conforme pas à la mise en demeure qui lui est adressée], la formation restreinte de la commission peut prononcer, après une procédure contradictoire, les sanctions suivantes : 1° Une sanction pécuniaire, dans les conditions prévues à l’article 47, (…) ; 2° Une injonction de cesser le traitement, (…) « . La délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la CNIL précise en son article 59 :  » [Les décisions de mises en demeure] caractérisent les manquements reprochés au responsable de traitement et précisent le délai imparti à celui-ci pour se mettre en conformité. Elles indiquent les conséquences pour le responsable du non-respect de la mise en demeure « .

6. Il résulte de ces dispositions que la CNIL ne peut faire usage des pouvoirs de sanction qui lui sont dévolus qu’après avoir mis en demeure le responsable du traitement de respecter les obligations qui lui sont imposées par les textes législatifs et réglementaires, et faute pour l’intéressé de s’être conformé à cette mise en demeure dans le délai imparti à cet effet. L’autorité investie du pouvoir de sanction doit donc apprécier, à la date à laquelle ce délai a expiré, si la personne à l’encontre de laquelle la mise en demeure a été prononcée s’y est, en tout ou partie, conformée. Il s’ensuit que le moyen tiré de ce que la formation restreinte aurait nécessairement dû, pour caractériser l’existence de manquements et prononcer la sanction, se placer à la date à laquelle elle a statué, soit le 5 novembre 2015, et non à la date d’expiration de la mise en demeure, soit le 9 janvier 2015, ne peut qu’être écarté. En revanche la circonstance qu’il a été postérieurement remédié au manquement fautif peut être prise en compte pour la détermination de la sanction infligée.

En ce qui concerne le moyen tiré de la méconnaissance du principe de légalité des délits :

7. D’une part, les articles 34 et 35 précités de la loi du 6 janvier 1978 définissent précisément les obligations qui pèsent sur un responsable de traitement. D’autre part, la mise en demeure du 9 décembre 2014 caractérise de manière claire et précise tant les manquements relevés à l’encontre de la société Optical Center que la façon d’y remédier. Il s’ensuit qu’en prononçant, par la délibération attaquée du 5 novembre 2015, une sanction contre la société, la formation restreinte de la CNIL n’a pas méconnu le principe de légalité des délits, garanti notamment par l’article 7 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

En ce qui concerne les moyens relatifs aux manquements aux articles 34 et 35 de la loi du 6 janvier 1978 :

8. En premier lieu, la société Optical Center allègue s’être mise en conformité avec la mise en demeure qui lui faisait notamment obligation de  » mettre en oeuvre un chiffrement du canal de communication et une authentification du site distant (par exemple en utilisant le protocole  » https « ) lors de l’accès au site web, que ce soit au stade de l’authentification des clients ou au stade du renseignement et de la validation du formulaire de collecte des données aux fins de création du compte  » .Il résulte toutefois de l’instruction, et en particulier du contrôle diligenté par la CNIL, le 23 février 2015, que la zone de saisie de l’identifiant et du mot de passe pour accéder au compte client depuis la page d’accueil du site web de la société, n’était pas accessible depuis une page web sécurisée par le protocole  » https « . C’est donc à bon droit que la formation restreinte de la CNIL a estimé que la société n’avait pas, à l’expiration du délai fixé par la mise en demeure, remédié efficacement aux manquements constatés relatifs à la sécurité des données.

9. En second lieu, la société requérante ne peut en tout état de cause se prévaloir de l’article 19 du contrat de service la liant à la société sous-traitante Waycom, pour soutenir que, conformément aux dispositions de l’article 35 précité, cette société sous-traitante remplissait les obligations qui lui incombaient en matière de protection de la sécurité et de la confidentialité des données des clients de la société Optical Center . En effet, si l’article 19 du contrat prévoit que  » les informations nominatives relatives au Client et contenues dans les fichiers de Waycom ne seront transmises qu’aux personnes physiques ou morales expressément habilitées à les connaître « , le terme  » Client « , tel que défini à l’article premier du même contrat, renvoie à la société Optical Center et non aux clients de celle-ci. C’est donc à bon droit que la formation restreinte de la CNIL a estimé que les obligations pesant sur la société sous-traitante en matière de protection de la sécurité et de la confidentialité des données étaient méconnues.

En ce qui concerne le moyen tiré des erreurs d’interprétation des écritures de la société en rapport avec la sécurisation du site :

10. Contrairement à ce qui est soutenu, en relevant les insuffisances du dispositif de sécurité sur les postes informatiques des salariés, la formation restreinte de la CNIL, qui s’est fondée à la fois sur des éléments de fait non contestés et sur les propres écritures de la société requérante sans les méconnaître, n’a pas entaché sa décision d’inexactitude matérielle des faits.

En ce qui concerne le moyen tiré du caractère disproportionné de la sanction infligée par la formation restreinte :

11. Aux termes de l’article 47 de la loi du 6 janvier 1978 :  » Le montant de la sanction pécuniaire prévue au I de l’article 45 est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la CNIL prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission « .

12. Eu égard à la nature, à la gravité et à la persistance des manquements constatés, la formation restreinte la CNIL n’a pas infligé à la société une sanction disproportionnée aux faits de l’espèce en prononçant à son encontre une sanction pécuniaire d’un montant de 50 000 euros.

En ce qui concerne le moyen tiré du caractère excessif de la sanction complémentaire de publication :

13. Aux termes de l’article 46 de la loi du 6 janvier 1978 :  » La formation restreinte peut rendre publiques les sanctions qu’elle prononce. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu’elle désigne aux frais des personnes sanctionnées « . Lorsque la CNIL prononce une sanction complémentaire de publication de sa décision de sanction, celle-là se trouve nécessairement soumise, et alors même que la loi ne le prévoirait pas expressément, au respect du principe de proportionnalité. La légalité de cette sanction s’apprécie, notamment, au regard du support de diffusion retenu et, le cas échéant, de la durée pendant laquelle cette publication est accessible de façon libre et continue.

14. En l’espèce, eu égard à la renommée et à l’importance de la société, la sanction complémentaire contestée, qui vise à renforcer le caractère dissuasif de la sanction principale en lui assurant une publicité à l’égard du public, est justifiée, dans son principe, au regard de la gravité et de la persistance des manquements constatés aux dispositions de la loi du 6 janvier 1978. Toutefois, si la délibération attaquée prévoit que cette publication est effectuée sur le site internet de la CNIL et sur le site Légifrance, elle ne précise pas la durée de son maintien en ligne sur ces deux sites. En omettant de fixer la durée pendant laquelle la publication de la sanction resterait accessible de manière non anonyme sur ces deux sites, et quand bien même la Commission fait valoir que l’ensemble des décisions de sanctions et de mises en demeure ayant une ancienneté supérieure à deux ans ont été anonymisées sur les deux sites et que toutes le seront à l’expiration de ce délai, la formation restreinte de la CNIL doit être regardée comme ayant infligé une sanction complémentaire excessive car sans borne temporelle. Il y a lieu, dans les circonstances de l’espèce, de limiter à deux ans le maintien en ligne de la sanction non anonymisée sur les deux sites considérés.

15. Il résulte de tout de ce qui précède que les conclusions de la requête tendant à l’annulation de la délibération de la formation restreinte de la CNIL doivent être rejetées sauf en tant que cette délibération n’a pas limité à deux ans le maintien en ligne de la sanction non anonymisée.

16. Les dispositions de l’article L. 761-1 du code de justice administrative font obstacle à ce qu’une somme soit mise à ce titre à la charge de l’Etat, qui n’est pas, dans la présente instance, la partie perdante.

DÉCISION

Article 1 : La délibération de la formation restreinte de la CNIL du 5 novembre 2015 prononçant une sanction pécuniaire à l’encontre de la société Optical Center sera publiée de manière non anonyme sur le site internet de la CNIL et sur celui de Légifrance pendant deux années.

Article 2 : La délibération de la formation restreinte de la CNIL du 5 novembre 2015 est réformée en ce qu’elle a de contraire à la présente décision.

Article 3 : Le surplus des conclusions de la requête est rejeté.

Article 4 : La présente décision sera notifiée à la société Optical Center et à la Commission nationale de l’informatique et des libertés.


Le Conseil :
Jacques Reiller (rapporteur), Aurélie Bretonneau (rapporteur public)

Avocats : SCP Boullez

Lire notre présentation de la décision