Juridique

Optical Center obtient un rabais sur l'amende de la Cnil

Optical Center obtient un rabais sur l'amende de la Cnil
Le Conseil d'Etat a revu à la baisse l'amende infligée à Optical Center par la Cnil.

Contestant la sanction de 250 000 euros infligée par la Cnil auprès du Conseil d'Etat, ce dernier a jugé que l'amende était disproportionnée. En conséquence, il réduit son montant à 200 000 euros.

PublicitéEn juin 2018, Optical Center était condamné par la Cnil à une amende de 250 000 euros. Cette sanction faisait suite à un signalement, puis à un contrôle des inspecteurs de la commission qui ont constaté qu'en modifiant de manière simple l'URL de consultation d'un dossier client, il était possible de consulter les données d'autres clients, avec des informations d'ordre médical (la correction ophtalmique) ou le très sensible numéro de sécurité sociale. L'enseigne a immédiatement averti son prestataire pour corriger cette erreur.

Contestant l'amende, Optical Center a saisi le Conseil d'Etat pour annuler la délibération de la Cnil et à titre subsidiaire de réduire significativement le montant de la sanction pécuniaire. La plus haute juridiction administrative a rendu sa décision le 17 avril dernier. Il en résulte plusieurs éléments. Tout d'abord, elle a considéré que « c'est à bon droit que la formation restreinte de la CNIL a caractérisé l'existence d'un manquement aux obligations de sécurité prévues par l'article 34 précité ». En effet, pour le Conseil d'Etat, « il ne résulte pas de l'instruction, en particulier de la production par courrier du 5 mars 2018, d'une pièce intitulée " Programme de protection " Bannir les activités anormales sur le site " " , que la société aurait pris des précautions de sécurité suffisantes en mettant en place un protocole de tests en amont de la mise en production de son site internet en décembre 2016 ou en établissant un programme d'audits de sécurité ultérieurs ».

Sur le montant de l'amende, le Conseil d'Etat donne en partie raison à Optical Center. La juridiction considère que la formation restreinte de la Cnil n'a pas pris en compte la célérité de l'enseigne pour apporter les mesures correctrices de nature à remédier aux manquements. En conséquence, la sanction est jugée disproportionnée et le Conseil d'Etat ramène l'amende à 200 000 euros au lieu de 250 000 euros.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Réalisez-vous plus ou moins régulièrement des tests ou audits de cybersécurité sur votre SI ?