Optical Center : la Cnil prononce une nouvelle sanction de 250 000 euros contre l’enseigne

La Cnil vient de prononcer une sanction de 250 000 euros à l’encontre d’Optical Center pour avoir « insuffisamment sécurisé les données de ses clients effectuant une commande en ligne à partir de son site internet ».

En juillet 2017, la Cnil a été informée d’une fuite de données conséquentes, sans préciser davantage la source. « En renseignant plusieurs URL dans la barre d’adresse d’un navigateur », n’importe qui pouvait alors avoir accès à des centaines de factures précisant les noms, prénoms, adresses postales, corrections et, dans certains cas, le numéro de Sécurité sociale des clients de l’enseigne. « Alertée le même jour par la Cnil, la société s’est rapprochée de son prestataire pour qu’il prenne les mesures nécessaires afin de mettre fin à cet incident de sécurité », indique la Commission. Et de continuer : « Un contrôle sur place a été mené dans les locaux de la société Optical Center, durant lequel elle a reconnu que son site internet présentait bien un défaut de sécurité. En l’espèce, le site “www.optical-center.fr” n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société. La présidente de la Cnil a donc désigné un rapporteur afin que soit engagée une procédure de sanction à l’encontre de la société Optical Center ».

Le montant de la sanction a été fixé à 250 000 euros. Si la formation restreinte de la Cnil, qui a décidé de ce montant, souligne « la réactivité de la société dans la résolution de la faille », elle a retenu son manquement à « l’obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés ». Elle estime que « la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société. Elle a ainsi estimé que la mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle ». Elle explique également cette sanction en rappelant qu’Optical Center « n’était pas sans ignorer les risques liés à un défaut de sécurisation de son site dès lors qu’une sanction de 50 000 euros avait déjà été prononcée en raison d’un défaut de sécurité en 2015 ».