Données personnelles : Optical Center encore sanctionné par la Cnil

La Cnil se penche régulièrement sur la gestion des données personnelles dans les entreprises mais enquête aussi suite à la plainte d’un consommateur. C’est ce qui arrivé deux fois à Optical Center. Après une sanction en 2015 de 50.000 euros pour non-sécurisation des mots de passe de ses clients, le vendeur est aujourd’hui à nouveau condamné par la Commission à hauteur de 250.000 euros. C’est la première fois que la Cnil inflige une amende aussi forte.

 

L’affaire remonte à l’été 2017, la Commission explique avoir été informée d’une « fuite de données conséquentes ». « Un contrôle en ligne a permis de constater qu’il était possible, en renseignant plusieurs URL dans la barre d’adresse d’un navigateur, d’accéder à des centaines de factures de clients de la société. Ces factures contenaient des données telles que les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées », poursuit la Cnil. 334.000 documents étaient ainsi facilement accessibles.

Un contrôle sur place a été mené dans les locaux de la société durant lequel elle a reconnu que son site internet présentait bien un défaut de sécurité. Ce dernier n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société.

La formation restreinte de la Cnil a prononcé une sanction pécuniaire d’un montant de 250.000 euros, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.

« Tout en soulignant la réactivité de la société dans la résolution de la faille, la formation restreinte a considéré que la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société. Elle a ainsi estimé que la mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle. La formation restreinte a également relevé que la société n’était pas sans ignorer les risques liés à un défaut de sécurisation de son site dès lors qu’une sanction de 50 000 euros avait déjà été prononcée en raison d’un défaut de sécurité en 2015 », peut-on lire dans le communiqué.

Optical Center s’en sort néanmoins bien à l’heure de l’entrée en vigueur du RGPD qui prévoit une sanction maximale à hauteur de 4% du chiffre d’affaires d’une entreprise convaincue de manquement. 

Go to Source


bouton-devis