La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié le 7 juin 2018 une délibération dans laquelle une sanction de 250.000 euros à l’encontre de la société OPTICAL CENTER a été prononcée, pour n’avoir pas suffisamment sécurisé les données de ses clients.

L’article 34 de la loi du 6 janvier 1978 modifiée dispose en effet que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Or, le 28 juillet 2017, la CNIL a été informée d’une possible fuite de données concernant la société OPTICAL CENTER. Ce signalement faisait état de données à caractère personnel rendues librement accessibles à partir de plusieurs URL ayant une structure identique.

Il était effectivement possible d’accéder librement, à partir des URL qui avaient été transmises à la CNIL, à plusieurs factures contenant les données à caractère personnel suivantes : nom, prénom, adresse postale, correction ophtalmologique et, pour certaines d’entre elles, la date de naissance des clients ainsi que leur numéro d’inscription au répertoire national d’identification des personnes physiques (NIR).

La délégation a également constaté qu’il était possible, depuis le domaine optical-center.fr et sans authentification préalable à l’espace client, d’exporter au format CSV, un échantillon de 2085 fichiers faisant notamment apparaître 158 NIR.

La société OPTICAL CENTER a elle-même reconnu que « [son] site présentait bien un défaut de sécurisation », et a effectué avec réactivité les diligences nécessaires auprès de son prestataire.

Cela n’a tout de même pas été suffisant pour la CNIL, qui a considéré que la société d’optique aurait dû porter une attention particulière à la restriction d’accès aux documents mis à la disposition des clients à partir de leur espace réservé.

Au vu de l’importante fuite de données, la Commission a donc prononcé une sanction pécuniaire de 250.000 euros à l’encontre de la société Optical Center.

Cette lourde sanction s’entend aussi sans doute par le fait que la société ne pouvait ignorer les risques liés à un défaut de sécurisation de son site dès lors qu’elle avait déjà été condamnée par la CNIL en 2015, en raison d’un précédent défaut de sécurité.

La décision de la CNIL dans son intégralité est disponible sur le site LEGIFRANCE à l’adresse suivante : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037013610&fastReqId=1003469497&fastPos=1