Par un arrêt du 19 juin 2017, la plus haute juridiction administrative a confirmé la sanction infligée par la CNIL à Optical Center au titre du non respect des obligations de confidentialité et de sécurité des données. 

La CNIL, saisie par une cliente de la société, l’avait mise en demeure de se conformer aux dispositions de la loi informatique et libertés aux termes de laquelle « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès  » (article 34). De plus, l’article 35 dispose que « Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement ».

Condamnée à payer une somme de 50 000 euros après ne s’être pas mise en conformité, la société Optical Center avait fait appel devant le Conseil d’Etat. Elle soulevait notamment qu’il y avait méconnaissance du principe de légalité des délits, qu’elle s’était mise en conformité suite à la mise en demeure de la CNIL, et qu’il y avait eu des « erreurs d’interprétation des écritures de la société en rapport avec la sécurisation du site ».

Retrouvez la décision du Conseil d’Etat

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *