Protection des données personnelles : amende de 250.000 euros à l'encontre d'Optical Center

Protection des données personnelles : amende de 250.000 euros à l'encontre d'Optical Center

DATA - La Cnil reproche à Optical Center de ne pas avoir suffisamment protégé les données de ses clients sur Internet. L'institution a condamné l'entreprise à une amende record de 250.000 euros pour une atteinte à la sécurité des données.

C'est une sanction record qui sonnera comme un rappel à l'ordre pour les entreprises. La Commission nationale de l'informatique et des libertés (Cnil) a infligé ce jeudi 7 juin 2018 une amende de 250.000 euros à Optical Center, une société spécialisée dans l'optique et l'audition. La raison : une "fuite de données conséquentes", a été constatée sur son site. Alors que les entreprises doivent protéger les données de leurs clients, surtout quand celles-ci sont sensibles.

La Cnil a en effet constaté, explique-t-elle dans un communiqué, "qu'il était était possible, en renseignant plusieurs URL dans la barre d’adresse d’un navigateur, d’accéder à des centaines de factures de clients de la société" effectuant des commandes en ligne à partir de son site. Factures qui contiennent les nom, prénom, adresse, correction visuelle et dans certains cas le numéro de sécurité sociale.

La société n’était pas sans ignorer les risques liés à un défaut de sécurisation de son siteLa Cnil

Techniquement, la faille vient du fait que le site "n'intégrait pas de fonctionnalité permettant de vérifier qu'un client était bien connecté à son espace personnel avant de lui afficher ses factures". Tout en reconnaissant la réactivité d'Optical Center pour résoudre le problème, la Cnil a considéré que cette question de la restriction de l'accès à ces documents "aurait dû faire l'objet d'une attention particulière de la part de la société". D'autant que plus de 334.000 documents étaient présents dans la base de données au moment où la Cnil a été informée de l'incident, en juillet 2017. Immédiatement alertée, la société a fait passer le message à son prestataire afin qu'il fasse le nécessaire pour résoudre cet incident de sécurité. 

En vidéo

La minute pour comprendre : données personnelles, le trésor le plus convoité du 21ème siècle

En outre, la Cnil a souligné qu'Optical Center ne pouvait pas ignorer les risques liés à un défaut de sécurisation de son site dans la mesure où l'entreprise avait déjà été sanctionnée pour un défaut de sécurité en 2015. La sanction s'était élevée à 50.000 euros à l'époque. L'entreprise sanctionnée une seconde fois a toutefois annoncé à nos confrères du Monde son intention de déposer un recours auprès du Conseil d'Etat.

Tout savoir sur

Tout savoir sur

Le RGPD, le plan de l’Europe pour protéger vos données personnelles

Sur le même sujet

Plus d'articles

Lire et commenter