Les avocats du net

 
 


 

Jurisprudence : Jurisprudences

mardi 07 mai 2019
Facebook Viadeo Linkedin

Conseil d’Etat, 10ème – 9ème chambres réunies, décision du 17 avril 2019

Adef

cnil - défaut de sécurité - données personnelles - formation restreinte - mise en demeure - Obligations de sécurité - sanction pécuniaire - sanction proportionnée

1. Il résulte de l’instruction que la Commission nationale de l’informatique et des libertés (CNIL), alertée de l’existence d’un défaut de sécurité permettant à des tiers non autorisés d’accéder aux données personnelles des personnes sollicitant les services fournis par l’Association pour le développement des foyers (ADEF), a diligenté le 15 juin 2017 une mission de contrôle en ligne sur les traitements mis en oeuvre par l’association à l’occasion de laquelle un manquement aux dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a été constaté. Malgré plusieurs demandes de la CNIL à l’association, la première dès le 15 juin 2017, tendant à ce qu’elle apporte au manquement litigieux les mesures correctrices qu’il appelait, la commission a constaté, lors d’une mission de contrôle effectuée sur place le 21 juin 2017, qu’il n’avait pas été porté remède à ce défaut de sécurité. La présidente de la CNIL a alors engagé une procédure de sanction à l’encontre de l’association. Par une délibération du 21 juin 2018, la formation restreinte de la CNIL a infligé à l’ADEF une sanction pécuniaire de 75 000 euros et a décidé de rendre cette sanction publique pendant une durée de 2 ans à compter de sa publication.

2. En premier lieu, le I de l’article 45 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction applicable au litige issue de la loi du 7 octobre 2016 pour une République numérique, dispose que :  »  » I. – Lorsque le responsable d’un traitement ne respecte pas les obligations découlant de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut le mettre en demeure de faire cesser le manquement constaté dans un délai qu’il fixe. En cas d’extrême urgence, ce délai peut être ramené à vingt-quatre heures. / Si le responsable du traitement se conforme à la mise en demeure qui lui est adressée, le président de la commission prononce la clôture de la procédure. / Dans le cas contraire, la formation restreinte de la commission peut prononcer, après une procédure contradictoire, les sanctions suivantes : 1° Un avertissement ; 2° Une sanction pécuniaire, dans les conditions prévues à l’article 47, à l’exception des cas où le traitement est mis en oeuvre par l’Etat ; 3° Une injonction de cesser le traitement, lorsque celui-ci relève de l’article 22, ou un retrait de l’autorisation accordée en application de l’article 25. / Lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure, la formation restreinte peut prononcer, sans mise en demeure préalable et après une procédure contradictoire, les sanctions prévues au présent I. « . Il résulte de ces dispositions, éclairées par les travaux préparatoires de la loi du 7 octobre 2016, que la formation restreinte de la CNIL peut, sans mise en demeure préalable, sanctionner un responsable de traitement dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d’être régularisés, soit qu’ils soient insusceptibles de l’être, soit qu’il y ait déjà été remédié.

3. Il résulte de l’instruction qu’à la suite d’une mesure correctrice apportée au traitement litigieux et constatée le 27 juin 2017, le manquement aux obligations de sécurité relevé par la mission de contrôle de la CNIL avait cessé et n’était dès lors plus susceptible de faire l’objet d’une régularisation. Il s’ensuit que la formation restreinte de la CNIL a pu légalement, sur le fondement des dispositions citées au point précédent, engager, sans procéder à une mise en demeure préalable, une procédure de sanction à l’encontre de l’ADEF.

4. En deuxième lieu, la délibération attaquée est suffisamment circonstanciée en fait comme en droit. Il s’ensuit que le moyen tiré de son insuffisance de motivation ne peut qu’être écarté.

5. En troisième lieu, l’article 47 de la loi du 6 janvier 1978 dispose que :  » Le montant de la sanction pécuniaire prévue au I de l’article 45 est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la CNIL prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission « .

6. Il résulte de l’instruction que le manquement constaté par la formation restreinte de la CNIL consistait en un défaut de sécurité du formulaire en ligne de demande de logement mis à la disposition des bénéficiaires des prestations offertes par l’ADEF, permettant à tout tiers non autorisé d’accéder, au moyen d’une simple modification des liens URL correspondant, aux documents téléchargés par les demandeurs de logement. Il apparaît que ces documents, bulletins de salaires, avis d’imposition, justificatifs d’identité, contiennent des données personnelles. Eu égard à la nature et à la gravité du manquement constaté qu’il aurait été possible de prévenir par des mesures simples de sécurité, comme l’occultation des chemins d’accès aux dossiers enregistrés ou l’authentification des utilisateurs du traitement, aux moyens importants dont dispose l’association et au délai avec lequel elle a apporté les mesures correctrices de nature à remédier à ce manquement, la formation restreinte de la CNIL n’a pas infligé à l’ADEF une sanction disproportionnée en prononçant à son encontre une amende d’un montant de 75 000 euros.

7. En quatrième lieu, l’article 46 de la loi du 6 janvier 1978 dispose que :  » La formation restreinte peut rendre publiques les sanctions qu’elle prononce. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu’elle désigne aux frais des personnes sanctionnées « . Lorsque la CNIL prononce une sanction complémentaire de publication de sa décision de sanction, celle-ci se trouve nécessairement soumise, et alors même que la loi ne le prévoirait pas expressément, au respect du principe de proportionnalité. La légalité de cette sanction s’apprécie, notamment, au regard du support de diffusion retenu et, le cas échéant, de la durée pendant laquelle cette publication est accessible de façon libre et continue.

8. La délibération attaquée du 21 juin 2018, qui prévoit à titre de sanction complémentaire une publication de la sanction pécuniaire de 75 000 euros pendant une durée de 2 ans, doit être lue à la lumière des dispositions de l’article 70 de la délibération du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés, aux termes duquel :  » Les décisions rendues publiques par la formation restreinte sont publiées sur le site internet de la commission et le site Légifrance dès leur notification « . Il s’ensuit que le moyen tiré de ce que la délibération attaquée n’aurait pas précisé les supports de diffusion de la publication contestée doit être écarté.

9. Il résulte de l’instruction que compte tenu de l’intérêt s’attachant à la publication de la sanction financière pour en assurer le caractère dissuasif et pour informer les utilisateurs du traitement concerné des risques auxquels ils ont été confrontés, cette sanction complémentaire d’une publication pendant une durée de 2 ans, laquelle publication mentionne que l’association a remédié à la défaillance fautive, est justifiée, tant au regard de la gravité du manquement sanctionné que de la quantité des données à caractère personnel concernées.

10. Il résulte de tout ce qui précède que l’association pour la défense des foyers n’est pas fondée à demander l’annulation de la délibération de la formation restreinte de la CNIL qu’elle attaque. Les dispositions de l’article L. 761-1 du code de justice administrative font obstacle à ce qu’une somme soit mise à ce titre à la charge de la CNIL, qui n’est pas, dans la présente instance, la partie perdante.

D E C I D E :

Article 1er : La requête de l’ADEF est rejetée.
Article 2 : La présente décision sera notifiée à l’Association pour la défense des foyers et à la Commission nationale de l’informatique et des libertés.

 

Le Conseil : Paul-François Schira, auditeur, Aurélie Bretonneau, rapporteur public

Avocats : SCP Foussard, Froger

Lire notre présentation de la décision

 
 

En complément

Maître Froger est également intervenu(e) dans l'affaire suivante  :

 

En complément

Maître SCP Foussard est également intervenu(e) dans l'affaire suivante  :

 

En complément

Le magistrat Aurélie Bretonneau est également intervenu(e) dans les 7 affaires suivante  :

 

En complément

Le magistrat Paul-François Schira est également intervenu(e) dans l'affaire suivante  :

 

* Nous portons l'attention de nos lecteurs sur les possibilités d'homonymies particuliérement lorsque les décisions ne comportent pas le prénom des personnes.