Le Conseil d'État confirme l'amende de 50 000 € contre Optical Center

: mardi, 27 juin 2017

Épinglée en 2015 par la Commission nationale de l'informatique et des libertés (Cnil) pour un défaut de sécurisation de son site, l'enseigne avait saisi le Conseil d'État pour contester cette décision. L'institution vient seulement de se prononcer et révise une partie des sanctions.

Les sanctions prononcées par la Cnil en 2015 contre Optical Center pour manque de sécurité et de confidentialité sur les données des clients transitant par son site web étaient-elles justifiées et proportionnées ? Saisi par l'enseigne au moment des faits, le Conseil d'État était appelé à se prononcer sur cette affaire qui remonte à l'origine à l'été 2014. À cette date, rappelons-le, une cliente attire l'attention de la Cnil. Celle-ci intervient en décembre 2014 et rappelle à l'ordre l'enseigne, exigeant une mise en conformité concernant l'encadrement des données personnelles de ses clients. Optical Center réagit par une normalisation partielle dont la Cnil prend acte. Courant 2015, quelques mois après cette mise en demeure initiale, la Cnil, à la suite d'une nouvelle vérification, constate la persistance de manquements sur deux points : la mise en place de mesures adaptées pour assurer la sécurité et la confidentialité des données des 170 000 comptes utilisateurs du site internet de l'enseigne et la nature du contrat signé avec l’un des sous-traitants de l'enseigne qui ne contenait pas de clause précisant les obligations de ce prestataire en matière de protection de la sécurité et de la confidentialité des données des clients. C'est alors que la Cnil a prononcé une sanction de 50 000 euros à l'encontre d'Optical Center, une amende assortie d'une publicité de sa délibération visant à faire connaître la nature de la sanction, et ce pendant une durée indéterminée. Voilà, dans les grandes lignes, l'historique de ce contentieux.

Plus de deux ans après les faits, le Conseil d'État fait donc connaître sa décision. Le 19 juin, il a confirmé la pénalité financière : "Eu égard à la nature, à la gravité et à la persistance des manquements constatés, la formation restreinte de la CNIL n’a pas infligé à la société une sanction disproportionnée aux faits de l’espèce en prononçant à son encontre une sanction pécuniaire d’un montant de 50 000 euros", a considéré le Conseil d’Etat. En revanche, le volet concernant la publicité de la délibération, que la Cnil avait fixé sans limite de temps, a été retoqué par l'institution. Le Conseil d'État a ramené à deux ans la durée de la publicité de la délibération, sur le site internet de la CNIL et sur celui de Légifrance. Contactée par la rédaction, la direction d'Optical Center n'a pas souhaité faire de commentaires.

Pour recevoir les dernières infos, inscrivez-vous à notre newsletter