Pour la Cnil, le non-respect d’une mesure de sécurité informatique évidente constatée en ligne conduit automatiquement à une amende.
La société Web Editions publie des sites permettant de faire des dépôts de plaintes en ligne, des demandes d’actes de naissance et des formalités administratives. Lors d’un contrôle en ligne, la Cnil a constaté qu’il était possible d’accéder à des demandes individuelles simplement en modifiant un chiffre dans l’adresse URL. Le 13 janvier 2017, la Cnil demande à la société Web Editions des explications par courriel. Le 16 janvier 2017, la société Web Editions répond avoir corrigée l’erreur. Nonobstant ce délai rapide de correction et l’absence de fuite de données avérée, la Cnil sanctionne pécuniairement tout de même la société Web Editions sans mise en demeure préalable (sanction du 16 novembre 2017).
La société Web Editions faisait valoir qu’elle avait été diligente et avait corrigée avec promptitude la faille. La société Web Editions demandait donc la clémence de la Cnil. La Cnil répond que, justement, dans la mesure où cette faille a pu être réparée avec promptitude, elle revêt un caractère simple et est donc inadmissible. La Cnil relève également que la société n’a pas mis en place de process de « privacy by design », ni même de vérifications de sécurité au cours de l’exploitation des sites pour éviter toutes failles de sécurité. Le principe d’ « accountability » n’a donc pas été respecté.
L’amende prononcée est de 25 000 €. Cela traduit une forte augmentation par rapport aux taux moyens constatés jusqu’alors pour ce type d’infractions à la Loi « informatique et libertés ». Mais surtout, le Rapporteur requérait une amende supérieure à 200 000 €.
La Cnil est donc bien de moins en moins clémente. Certains manquements engendrent de façon automatique une sanction pécuniaire, sans mise en demeure ou avertissement préalables. Dans ces cas, la bonne foi et la coopération active avec l’autorité de contrôle ne suffisent plus à éviter la sanction pécuniaire. L’absence de process pour gérer la protection des données (« privacy by design”, “accuntability”, p. ex.) ne sont plus admissibles pour la Cnil.
