Your cart is currently empty!
La sanction pécuniaire de 250 000 euros infligée par la CNIL à la société Optical Center a été ramenée à 200 000 euros par le Conseil d’État.
Lorsque la CNIL constate des manquements à l’obligation d’assurer la sécurité et la confidentialité des données, il lui appartient, pour prononcer une sanction sous le contrôle du juge, de tenir compte de la nature, de la gravité et de la durée de ces manquements, mais aussi du comportement du responsable du traitement à la suite de ce constat.
Le montant de la sanction pécuniaire doit être proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la Commission nationale de l’informatique et des libertés prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission. Le montant de la sanction ne peut excéder 3 millions d’euros.
En l’occurrence, en retenant une sanction pécuniaire d’un montant de 250 000 euros sans prendre en compte la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée.
Pour rappel, il résulte de l’instruction qu’avant sa mise en conformité à la suite de l’intervention de la CNIL, le site internet de la société Optical Center, qui permet d’effectuer des commandes en ligne après avoir créé un compte dédié, n’intégrait pas de fonctionnalité permettant de vérifier qu’un client s’était bien authentifié à son espace personnel avant de lui donner accès à ses factures et bons de commande, lesquels pouvaient inclure des données sensibles, telles des données de santé ou des numéros NIR.
L’ensemble des données concernées, dans une base d’au moins 334769 documents, étaient donc accessibles sans contrôle préalable et sans qu’il soit besoin d’une maîtrise technique particulière, à tout client par la simple modification, lors de la consultation d’une facture ou d’un bon de commande, du paramètre ” id “, très visible, relatif à l’identifiant de la facture. D’autre part, la société n’avait pas pris les précautions de sécurité suffisantes en mettant en place un protocole de tests en amont de la mise en production de son site internet ou en établissant un programme d’audits de sécurité ultérieurs.
[toggles class=”yourcustomclass”]
[toggle title=”Télécharger la Décision”]Télécharger [/toggle]
[toggle title=”Contrat sur cette thématique”]Vous disposez d’un modèle de document juridique sur cette thématique ? Besoin d’un modèle ? Complétez vos revenus en le vendant sur Uplex.fr, la 1ère plateforme de France en modèles de contrats professionnels[/toggle]
[toggle title=”Vous avez une expertise dans ce domaine ?”]Référencez votre profil sur Lexsider.com, la 1ère plateforme de mise en relation gratuite Avocats / Clients[/toggle]
[toggle title=”Poser une Question”]Posez une Question Juridique sur cette thématique, la rédaction ou un abonné vous apportera une réponse en moins de 48h.[/toggle]
[toggle title=”E-réputation | Surveillance de marques”]Surveillez et analysez la réputation d’une Marque (la vôtre ou celle d’un concurrent), d’une Personne publique (homme politique, acteur, sportif …) sur tous les réseaux sociaux (Twitter, Facebook …). Testez gratuitement notre plateforme de Surveillance de Marque et de Réputation numérique.[/toggle]
[toggle title=”Paramétrer une Alerte”]Paramétrez une alerte de Jurisprudence sur ce thème pour être informé par email lorsqu’une décision est rendue sur ce thème[/toggle]
[/toggles]