Données personnelles : Optical Center sanctionné par la Cnil


Optical Center se voit infliger une amende de 250 000 € par la Cnil pour avoir insuffisamment sécurisé les données de ses clients qui effectuent une commande sur son site internet.

Une faille découverte en juillet 2017


Cette sanction intervient après qu’en juillet 2017, la Cnil ait été informée d’une « fuite de données conséquentes » concernant la société Optical Center. Optical Center avait déjà été mis à l’amende en 2015.

En juillet 2017, un contrôle en ligne a permis aux équipes de la Cnil de constater qu’il était possible, en renseignant plusieurs URL dans la barre d’adresse d’un navigateur, d’accéder à des centaines de factures de clients de la société. Ces factures contenaient des données telles que le nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) et dans certains cas, le numéro de sécurité sociale des personnes concernées.

Alertée le même jour par la CNIL, la société s’est rapprochée de son prestataire pour qu’il prenne les mesures nécessaires afin de mettre fin à cet incident de sécurité.

Absence de vérification de connexion

Un contrôle sur place a été mené dans les locaux de la société Optical Center durant lequel elle a reconnu que son site internet présentait bien un défaut de sécurité. En l’espèce, le site www.optical-center.fr n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société.

La Présidente de la Cnil a donc désigné un rapporteur afin que soit engagée une procédure de sanction à l’encontre de la société. La Cnil a prononcé une sanction pécuniaire d’un montant de 250 000 €, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.

La Cnil reconnaît la réactivité de la société dans la résolution de la faille, mais elle considère que la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière. Une telle fonctionnalité constitue une précaution d’usage essentielle. Optical Center a également été considéré comme connaissant les risques liés à un défaut de sécurisation de son site car une sanction de 50 000 € avait déjà été prononcée en raison d’un défaut de sécurité en 2015.

Trop de clients menacés

Compte tenu notamment de la particulière sensibilité des données ayant été rendues librement accessibles, du nombre de clients impactés et du volume de documents contenus dans la base de données de la société à la date de l’incident (plus de 334  000), la Cnil a décidé de rendre publique sa décision.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *