Camille Gruhier
Données personnellesOptical Center condamné
La Cnil (Commission nationale de l’informatique et des libertés) vient de prononcer une amende de 250 000 € à l’encontre d’Optical Center. Cette décision sanctionne un défaut de sécurisation des données personnelles des clients du site Internet de l’opticien. Une faille permettait en effet de mettre la main sur leurs noms, leurs adresses, et même parfois sur leur numéro de Sécurité sociale et leur correction ophtalmologique.
La négligence d’Optical Center fait froid dans le dos. Depuis des mois, les factures de centaines de clients de son site de vente en ligne étaient accessibles sur Internet, sans aucune protection. Ces factures contenaient des données telles que les nom, prénom, adresse postale, des données de santé (correction ophtalmologique) et, dans certains cas, la date de naissance et le numéro de Sécurité sociale des personnes concernées. La Cnil (Commission nationale de l’informatique et des libertés), qui a mené une série de contrôles, a même réussi à télécharger dans un format informatique lisible par tous (.csv) une base de données contenant 2 085 fichiers clients (dont 158 numéros de Sécurité sociale). La Cnil a jugé que cette faille constituait une fuite de données importante, et a prononcé à l’encontre de l’entreprise une amende de 250 000 €.
Diligente, mais néanmoins négligente
Dans sa délibération, le gendarme des données personnelles souligne la diligence d’Optical Center. La société a en effet réagi rapidement puisque la faille de sécurité, signalée le 31 juillet 2017, a été comblée le 2 août. La Cnil sanctionne toutefois la négligence de l’entreprise, car assurer la sécurité et la confidentialité des données de ses clients est une obligation légale et… élémentaire ! « Le site Internet n’intégrait pas de fonctionnalité permettant de vérifier qu’un client s’est bien authentifié à son espace personnel avant de lui donner accès auxdits documents », note la Cnil, qui estime qu’il s’agit pourtant d’une précaution d’usage essentielle. D’autant qu’en 2015, Optical Center avait déjà été condamnée à 50 000 € d’amende pour un défaut de sécurité de son site Internet. L’entreprise, qui n’a pas répondu à nos sollicitations, a annoncé vouloir porter l'affaire devant le Conseil d’État.