Données personnelles : La CNIL voit rouge contre Optical Center

La chaîne d’opticiens vient d’écoper d’une amende de 250 000 euros par la CNIL. Une amende record pour sanctionner l’insuffisance de sécurisation des données des clients.

La CNIL n’est pas daltonienne et a même vu rouge contre le réseau d’opticiens, Optical Center. Elle vient d’infliger une amende record de 250 000 euros à l’encontre de cette société. L’histoire commence en juillet 2017 où la CNIL a été informée d’une « fuite de données conséquentes ».

Après vérifications, il est en effet possible en renseignant plusieurs URL dans la barre d’adresse d’un navigateur, d’accéder à des centaines de factures de clients de la société. Ces factures contenaient des données telles que les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) ou encore dans certains cas, le numéro de sécurité sociale des personnes concernées.

Mesure élémentaire de sécurité non prise

Après un contrôle, le site web d’Optical comportait un défaut de sécurité. Il n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Face à ce problème, la CNIL a engagé une procédure de sanction.

Le régulateur salue la réactivité d’Optical Center pour remédier à ce trou de sécurité. Mais la CNIL considère que « les mesures élémentaires de sécurité n’avaient pas été prises en amont de la mise en production d’une nouvelle fonctionnalité de son site internet ». En conséquence, la commission considère ces faits comme étant contraire à l’article 34 de la loi Informatique et Libertés qui mentionne, que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Pendant la procédure, une discussion a porté sur le nombre de documents touchés par cette faille de sécurité. La CNIL estime ce volume entre « 334 769 et 354 806 documents ».

Une première condamnation non aggravante

La CNIL rappelle qu’Optical Center avait déjà été condamné à 50 000 euros d’amende en 2015 pour défaut de sécurisation de son site Internet. La société aurait dû donc être plus vigilante, même si la formation restreinte ne considère pas cette condamnation comme une circonstance aggravante. Au regard de la faille de sécurité et de la sensibilité des données, la sanction prononcée est de 250 000 euros.

Cette décision intervient quelques jours après la mise en œuvre du RGPD. Si les faits se sont déroulés avant l’introduction du règlement, la CNIL dispose d’un pouvoir de sanction plus important et les amendes sont plus élevées. Elle lance aussi un avertissement aux entreprises qui n’auraient pas enclenché des analyses et des travaux sur le RGPD, notamment en s’assurant de la qualité et de la sécurité des prestataires.  A bon entendeur….

Photo credit: steph.brette on Visual hunt /  CC BY-NC-SA

 

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s