SOURCE : Conseil d’Etat,9e et 10e chambres réunies, décision du 17 avril 2019, aff. ADEF / CNIL
Les décisions rendues par la CNIL peuvent faire l’objet d’un recours devant le Conseil d’Etat en premier et dernier ressort. Saisi d’un tel recours, le Conseil d’Etat peut aussi bien prononcer l’annulation de la décision déférée, que sa réformation ou son remplacement.
En l’espèce, l’Association pour le développement des foyers (ADEF) a formé un recours devant le Conseil d’Etat contre une décision en date du 21 juin 2018 de la formation restreinte de la CNIL ayant ordonné à son encontre une sanction pécuniaire de 75.000 euros, rendue publique pendant une durée de deux ans à compter de sa publication.
Cette décision était fondée sur la constatation d’une faille de sécurité permettant à tout tiers non autorisé d’accéder aux données personnelles des personnes sollicitant les services fournis par l’association. Malgré plusieurs demandes de la CNIL, l’ADEF avait tardé à réparer ce défaut de sécurité, ce qui avait pu être constaté lors d’une mission de contrôle.
Le Conseil d’Etat rappelle tout d’abord que, conformément aux dispositions de l’article 45 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa version applicable antérieurement au RGPD, la CNIL peut, sans mise en demeure préalable, sanctionner un responsable de traitement dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d’être régularisés, soit qu’ils soient insusceptibles de l’être, soit qu’il y ait déjà été remédié.
Concernant la sanction pécuniaire proprement dite, le Conseil d’Etat considère qu’elle est suffisamment circonstanciée en fait et en droit.
En effet, l’article 47 de la loi du 6 janvier 1978 dispose que le montant de la sanction pécuniaire est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte prend notamment en compte le caractère intentionnel ou de négligence du manquement, le degré de coopération avec la CNIL afin de remédier au manquement et d’atténuer ses effets négatifs, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la CNIL.
En l’occurrence, les fichiers rendus accessibles par la faille de sécurité querellée portaient sur des données extrêmement sensibles : bulletins de salaires, avis d’imposition, justificatifs d’identité,… Au surplus, le Conseil d’Etat constate que l’ADEF aurait pu remédier au problème de sécurité par des mesures simples et qu’elle a particulièrement tardé à intervenir.
Au vu de ces différents facteurs, le Conseil d’Etat considère l’amende de 75.000 euros parfaitement proportionnée.
Il en est de même concernant la publication de la sanction, laquelle doit assurer un caractère dissuasif et d’information des utilisateurs du traitement concernées sur les risques encourus.
