Confirmation par le Conseil d'Etat : la CNIL peut sanctionner sans mise en demeure

Une association condamnée suite à une violation de données

Le 17 avril 2019, le Conseil d’Etat a statué sur le pouvoir de sanction de la CNIL.

La CNIL avait reçue des plaintes contre l’Association pour le développement des foyers (ADEF), l’alertant d’une faille de sécurité qui permettait à des personnes tierces d’accéder à des bulletins de salaires, avis d’imposition,... de personnes sollicitant ses services.

Pour rappel, la CNIL est compétente pour contrôler le respect de toute réglementation applicable à la protection des données personnelles, quelque soit l’organisme concerné (sociétés, associations, …).

La CNIL décide le 15 juin 2017 d’opérer un contrôle en ligne et, après avoir constaté l’existence de ladite faille, adresse plusieurs demandes à l’ADEF de prendre des mesures correctives. Constatant le 21 juin 2017 lors d’un contrôle sur place qu’aucune mesure n’a été prise, la présidente de la CNIL (à l’époque, Madame Isabelle Falque-Pierrotin) engage une procédure de sanction contre l'association.

Le 21 juin 2018 la CNIL sanctionne l’ADEF d’une amende de 75 000 euros ainsi que de la mise en ligne de la décision pour une durée de 2 ans.

 

La sanction remise en cause par l’ADEF

 

L’ADEF décide de contester la décision de la CNIL, la jugeant disproportionnée et inadéquate, et porte l’affaire devant le Conseil d’Etat le 24 août 2018.

En effet, bien que la CNIL ait décidé d’engager une procédure de sanction le 21 juin 2017, l’association avait par la suite mis en oeuvre des mesures correctives puisque le 27 juin 2017, la violation avait été réparée.

Or, quasiment un an après la disparition de cette faille de sécurité, la CNIL prononce une sanction sur la base de cette violation de données.

On peut rappeler que la CNIL avait opéré un contrôle qui s’était révélé négatif. Pour sanctionner l’association, la CNIL s’est basée sur les résultats du contrôle uniquement, écartant délibérément les mesures correctives apportées peu de temps après le contrôle.

 

De plus, l’ADEF a reproché à la CNIL de ne pas avoir réalisé une mise en demeure préalable afin de laisser à l’association un délai pour réparer la violation de données.

Il y a une interrogation posée par l’ADEF sur le caractère obligatoire de la procédure de mise en demeure : Est-ce que la CNIL peut délibérément choisir de sanctionner directement sans avoir à le justifier ?

 

Le pouvoir dissuasif de la CNIL mis en avant par le Conseil d’Etat

 

Le Conseil d’Etat a récemment rendu une décision en affirmant que la sanction était parfaitement légitime et justifiée, et a rejeté la requête de l’ADEF

En effet, le Conseil a d’abord rappelé que la CNIL peut effectivement mettre en demeure un organisme afin que ce dernier se mette en conformité à la réglementation applicable, mais que cette procédure n’est pas obligatoire. Si la CNIL constate qu’un manquement aux lois applicables “ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure”, la CNIL a la possibilité de sanctionner directement.

De plus, la violation de données concernant un grand nombre de données personnelles contenues dans des bulletins de salaires, des avis d’imposition et des justificatifs d’identité qui pouvaient être partagées à des tiers simplement par une modification des liens URL, le Conseil a confirmé que face à une telle faille de sécurité, et de par sa gravité, la CNIL était dans son droit d’infliger une sanction sans mise en demeure.

 

Ainsi, la CNIL était non seulement dans son droit d’engager une sanction sans mise en demeure préalable à la suite d’un contrôle, mais également de ne pas tenir compte du fait que l’association ait réparé la faille avant la délibération portant sur cette sanction.

De plus, le fait de rendre publique la décision n’est pas anodin car cela permet non seulement de toucher à la réputation même d’un organisme, mais également de montrer en France que n’importe quelle société, association,... peut être sanctionnée librement par la CNIL à partir du moment où une violation de données ou des lois de protection de données a été constatée.

 

Le but affiché de cette décision est son caractère dissuasif : un organisme ne doit pas attendre une mise en demeure pour se mettre en conformité, puisqu’il peut être sanctionné sans même en avoir reçu.

 

Pour plus d'informations sur la sanction de la CNIL, vous pouvez consulter notre article sur le sujet : https://www.datanaos.com/blog/2018/07/02/La-CNIL-sanctionne-a-75-000-euros-d-amende-une-association-d-aide-au-logement

 

Source : Conseil d'Etat