Données personnelles : Optical Center sanctionné
La Cnil a prononcé une sanction de 250.000 € à l’encontre de la société Optical Center pour sécurisation insuffisante de données clients lors des commandes passées en ligne à partir de son site internet.
La Cnil a prononcé une sanction de 250.000 € à l’encontre de la société Optical Center pour sécurisation insuffisante de données clients lors des commandes passées en ligne à partir de son site internet.
En juillet 2017, la Commission nationale de l’informatique et des libertés (Cnil) a été informée de nombreuses fuites de données des clients de la société Optical Center. La Commission a en effet constaté la possibilité, en renseignant plusieurs URL dans la barre d’adresse d’un navigateur, d’accéder à de nombreuses factures de clients, contenant des données nominatives telles que de leur identité, leurs données de santé voire leur numéro de sécurité sociale.
Lors d’un contrôle sur place, la société a reconnu que son site internet n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures, simplifiant ainsi l’accès à quiconque aux documents d’un autre client de la société.
Le 7 juin 2018, la formation restreinte de la Cnil a donc prononcé une sanction pécuniaire de 250.000 € à l’encontre d’Optical Center pour manquement à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et libertés.
Selon la Cnil, la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace personnel, aurait dû faire l’objet d’une attention particulière de la part de la société, cette fonctionnalité constituant une précaution d’usage essentielle. La formation restreinte a rappelé que la société avait déjà été sanctionnée en 2015 à une amende de 50.000 € pour défaut de sécurité, celle-ci n’ayant donc pu ignorer les risques liés à un défaut de sécurisation de son site.
– Communiqué de presse de la Cnil du 7 juin 2018 – « OPTICAL CENTER : sanction de 250.000€ pour une atteinte à la sécurité des données des clients du site internet www.optical-center.fr » – https://www.cnil.fr/fr/optical-center-sanction-de-250000eu-pour-une-atteinte-la-securite-des-donnees-des-clients-du-site- Délibération de la formation restreinte n° SAN-2018-002 du 7 mai 2018 prononçant une sanction pécuniaire à l’encontre de la société OPTICAL CENTER – https://www.cnil.fr/fr/optical-center-sanction-de-250000eu-pour-une-atteinte-la-securite-des-donnees-des-clients-du-site- Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – https://www.cnil.fr/fr/optical-center-sanction-de-250000eu-pour-une-atteinte-la-securite-des-donnees-des-clients-du-site-