Compliance : mode d’emploi par l’analyse de la décision rendue à l’encontre de la société Optical Center

Rejet du pourvoi par le Conseil d’Etat de la décision de sanction infligée par la CNIL à l’encontre d’Optical Center pour manquement à la protection des données individuelles ou comment l’absence d’une politique de conformité conduit à la condamnation au paiement d’une amende de 50 000 euros. 

 

Source : CE, ch. réunies, 19 juin 2017 – n°396050

 

I - LA DECISION DE SANCTION DE LA CNIL A L’ENCONTRE DE OPTICAL CENTER ET SA CONFIRMATION PAR LE CONSEIL D’ETAT

 

I.1.

 

Optical Center est une société qui distribue directement en succursale, ou sur son site Internet ou indirectement, via son réseau franchisé des produits optiques. Ce qui l’a conduit à traiter un fichier clients relativement conséquent qui contient des données personnelles définies par l’article 2 de la loi du 6 janvier 1978 dite « Informatique et Libertés ».

 

L’affaire remonte à 2014, date à laquelle la CNIL est saisie d’une plainte d’une cliente d’Optical Center qui s’émeut que son mot de passe lui aurait été directement transmis par le service clients au téléphone, ce qui supposait nécessairement que les mots de passe étaient stockés en clair, dans la base de données. A la suite de cette plainte, la CNIL procède à un contrôle et, met en demeure Optical Center de procéder à des mesures correctives « destinées à définir et mettre en œuvre une durée de conservation des données, à informer les personnes concernées des traitements de données opérés et à assurer la sécurité et la confidentialité des données collectées par la société et celles gérées par ses prestataires, et de répercuter ces mesures sur l'ensemble de ses magasins ».

 

Optical Center va partiellement procéder aux corrections demandées, ce que constatera la CNIL lors d’un second contrôle sur place. Finalement, mais tardivement, Optical Center, procédera à toutes les corrections demandées, ce qui ne l’empêchera pas d’être cité à comparaître devant la Commission de Sanctions de la CNIL qui lui infligera, par une décision du 5 novembre 2015[1], une amende pécuniaire de 50 000 euros.

 

Deux griefs sont retenus pour motiver une sanction particulièrement sévère pour la matière :

 

Le premier tient à la violation de l’article 34 de la loi de 1978, qui impose au responsable du traitement informatique « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » ;

 

Le second tient à la violation de l’article 35 du même texte qui oblige le responsable du traitement à veiller au respect par ses sous-traitants des obligations posées à l’article 34 précité.

 

La CNIL justifie la sanction par la persistance du manquement relatif à la sécurisation du site après le délai de mise en conformité imparti (et notamment, l’absence de protocole « https ») même s’il est admis que la société a ensuite, mais après le second contrôle, achevé ses opérations de mise en conformité. S’agissant du sous-traitant, la CNIL s’est attelée à la lecture de la convention et, a constaté, qu’elle ne comportait « aucune indication des obligations incombant au prestataire en matière de protection de la sécurité et de la confidentialité des données des clients de la société ».

 

Et la décision de juger que « les manquements aux articles 34 et 35 de la loi du 6 janvier 1978 modifiée, qui ont persisté au-delà du délai imparti par la mise en demeure de la Présidente de la Commission, justifient le prononcé d'une sanction, notamment en raison du nombre de personnes concernées par les traitements en cause et la sensibilité des données à caractère personnel ».

 

I.2.

 

Saisie d’un recours en annulation, la Haute Juridiction Administrative rejetait le pourvoi en jugeant que la sanction qui avait été infligée n’avait aucun caractère disproportionné ; la Cour relevant à cet égard que les manquements d’Optical Center avaient persistés au-delà du délai qui lui a été imparti pour se mettre en conformité avec la loi « Informatique et Libertés ».

 

Les titrages et résumés de la décision publiée au recueil Lebon, sont assez révélateurs, de l’absolue nécessité de respecter les injonctions de la CNIL « Il résulte des dispositions de l'article 45 de la loi n° 78-17 du 6 janvier 1978 et de la délibération n° 2013-175 du 4 juillet 2013 portant règlement intérieur de la Commission nationale de l'informatique et des libertés (CNIL) que la CNIL ne peut faire usage des pouvoirs de sanction qui lui sont dévolus qu'après avoir mis en demeure le responsable du traitement de respecter les obligations qui lui sont imposées par les textes législatifs et réglementaires, et faute pour l'intéressé de s'être conformé à cette mise en demeure dans le délai imparti à cet effet. L'autorité investie du pouvoir de sanction doit donc apprécier, à la date à laquelle ce délai a expiré, si la personne à l'encontre de laquelle la mise en demeure a été prononcée s'y est, en tout ou partie, conformée. En revanche, la circonstance qu'il a été remédié au manquement fautif postérieurement à la date d'expiration de la mise en demeure peut être prise en compte pour la détermination de la sanction infligée ».

 

L’intérêt de cette décision tient à l’absence de victimes c’est-à-dire à l’absence de préjudices consécutifs à une non-conformité du traitement informatique. En effet, la cliente, à l’origine de cette procédure, n’a pas subi de détournement de son mot de passe. Elle considère simplement que son mot de passe n’est pas suffisamment sécurisé.

 

L’analyse ne doit donc plus se faire sur le terrain de la responsabilité au sens classique du terme (une faute, un préjudice et un lien de causalité), mais sous l’angle d’un manquement à une obligation légale. L’importance de la sanction ne tient donc pas à un préjudice particulier mais bien, à un risque potentiel que faisait courir Optical Center à sa clientèle ou à ses clients.

 

Il s’agit d’une approche tirée du manquement à une obligation de conformité.

 

II - L’APPROCHE PAR L’EXEMPLE DU MANQUEMENT A L’OBLIGATION DE CONFORMITE

 

II.1.

 

La conformité est une notion parfaitement maîtrisée dans le domaine des banques et de l’assurance. On relèvera par exemple les premiers dispositifs de conformité issus du règlement 97/02 du comité de la réglementation bancaire et financière du 21 février 1997, modifié depuis par l’arrêté du 31 mars 2005 (Rgt CRBF 97/02).

 

Le règlement institue la fonction de conformité comme une fonction indépendante du management mais qui doit être supervisée et soutenue par le Conseil d’Administration qui doit s’assurer que la banque respecte l’intégrité de ses obligations notamment, dans les domaines de la prévention du blanchiment, du financement du terrorisme, des conflits d’intérêts, du devoir de confidentialité et de protection des données personnelles ainsi que la protection des consommateurs auxquels on peut ajouter la vérification du respect des normes internes à l’entreprise, des codes de conduite et de la déontologie.

 

La conformité a, ensuite irradié dans le droit des sociétés faisant appel public à l’épargne qui, avec la loi de sécurité financière du 1er août 2003[2] a codifié aux articles L225-37 et L225-68 du Code de commerce, une obligation de publier un rapport qui rend compte « des conditions d’organisation et de préparation des travaux du conseil » et des « procédures de contrôle internes mises en place au sein de la société ».

 

Pour répondre à cette obligation légale, les associations de professionnels ont établi des référentiels dont le dernier en date est le COSO 2[3] qui définit le contrôle interne comme :

 

« Un processus mis en œuvre par le Conseil d’Administration, des dirigeants et du personnel d’une organisation qui est destinée à fournir une assurance raisonnable quant à la réalisation d’objectifs entrant dans les catégories suivantes :

 

La réalisation et l’optimisation des opérations ;

 

La fiabilité des informations financières ;

 

La conformité aux lois et aux recommandations en vigueur ».

 

     Plus près de nous, la loi dite « SAPIN II »[4], impose jusqu’au niveau de l’ETI[5] :

 

Une obligation de prévention et détection des risques de corruption ;

 

Fixe des conditions d’adoption d’un programme de mise en conformité ;

 

Créée une nouvelle Agence Française Anti-corruption (AFA)[6].

 

L’évolution est à ce point irréversible que même la Commission Européenne, via le RSE[7] s’y est mise[8]. Il existe désormais une responsabilité positive des entreprises résultant des conséquences de ses actions vis-à-vis de la société. Cette responsabilité ne demandait plus finalement qu’à être sanctionnée. C’est déjà le cas pour la conformité légale spécifique à des matières juridiques et notamment pour revenir à la décision commentée sur la conformité, du dispositif de respect par l’entreprise de la loi « Informatique et Libertés ».

  

II.2

Dans ce domaine, la loi du 6 août 2004[9] a institué des correspondants à la protection des données personnelles, appelés plus communément « correspondants Informatique et Libertés » ou « CIL ». Conçus comme un dispositif facultatif par la loi de 2004, le recours au CIL deviendra obligatoire à la faveur de la mise en application en avril 2018 du règlement(UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 »[10]

 

Le CIL a pour fonction de « garantir la conformité de l’organisme à la loi Informatique et Libertés »[11]. Il n’est pas seul dans l’exécution de sa tache car il peut saisir la CNIL de toutes les difficultés rencontrées lors de ses missions, il s’agit d’un dispositif d’aide à la décision qui lui permet d’éviter que l’entreprise se place en situation d’infraction à la loi « Informatique et Libertés ». Corrélativement, le CIL est tenu d’établir un rapport annuel, qui doit être conçu de la même manière que celui du contrôleur interne.

           

On retrouve donc à travers le CIL les caractéristiques de la conformité légale, à savoir un salarié de l’entreprise, auxiliaire des pouvoirs publics et qui veille en interne à la conformité légale de l’entreprise. Ce correspondant est en même temps responsable de ses manquements mais aussi protégé puisqu’il peut, sans risque de représailles, utiliser un droit d’alerte ou d’information de la CNIL.

 

A l’évidence, le CIL (s’il en existe) de la société OPTICAL CENTER, a manqué à ses obligations élémentaires de contrôle interne de la loi « Informatique et Libertés ». Les manquements de l’entreprise à la sécurisation des données personnelles du client, sont à ce point grossiers qu’à n’en pas douter, l’entreprise, ne disposait d’aucune culture en cette matière à tel point qu'elle n’ait même pas senti besoin, lorsqu’elle a traité avec des entreprises sous-traitantes de s’assurer que les données personnelles de ses clients soient protégées.

 

C’est pour cette raison que le Conseil d’Etat estime que la sanction prononcée par la CNIL n’est pas disproportionnée malgré son montant relativement élevé pour cette AAI. Ce qui est puni n’est plus la faute mais le risque que fait courir la société à son environnement.

 

Ce raisonnement, a vocation à se développer dans tous les compartiments de la société notamment, la gouvernance de l’entreprise, les droits de l’homme, les relations et conditions de travail, l’environnement, la loyauté des pratiques, les droits des consommateurs et, à terme, au niveau des communautés et du développement local. Il existe d’ailleurs une norme AFNORD (ISO 26 000) qui traite de la responsabilité sociétale et propose un éclairage méthodologique de sa mise en œuvre.

 

Eric DELFLY

Vivaldi-Avocats 


[1] Délibération n°2015-379 du 5 novembre 2015

[2] Loi n°2003-706 du 1er août 2003.

[3] Committee of Sponsoring Organisation of the Tradeway Commission.

[4] Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.

[5] « Une entreprise de taille intermédiaire est une entreprise qui a entre 250 et 4999 salariés, et soit un chiffre d'affaires n'excédant pas 1,5 milliards d'euros soit un total de bilan n'excédant pas 2 milliards d'euros.

Une entreprise qui a moins de 250 salariés, mais plus de 50 millions d'euros de chiffre d'affaires et plus de 43 millions d'euros de total de bilan est aussi considérée comme une ETI.

Les ETI constituent une catégorie d'entreprises intermédiaire entre les PME et les grandes entreprises ».

[6] Décret n°2017-329 du 14 mars 2017.

[7] « La RSE (Responsabilité Sociale des Entreprises, ou Responsabilité Sociétale des Entreprises) regroupe l’ensemble des pratiques mises en place par les entreprises dans le but de respecter les principes du développement durable, c’est-à-dire être économiquement viable, avoir un impact positif sur la société mais aussi mieux respecter l’environnement ».

[8] Commission, Communication du 25 octobre 2011 DOC COM 2011 681 Final.

[9] Loi n°2004-801 du 6 août 2004.

[10]RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

[11] Guide du correspondant Informatique et Libertés CNIL édition 2011 fiche n°1.