La CNIL[1] a sanctionné la société OPTICAL CENTER, le 5 novembre 2015, pour n’avoir pas assuré la sécurité et la confidentialité des données des clients et des salariés, notamment leurs mots de passe.

La société OPTICAL CENTER met à disposition de ses clients un site Internet, « OPTICAL-CENTER.FR ». Certaines pages de ce site, comme la page d’accueil, qui permet aux clients d’accéder à leur compte, et la page de modification du mot de passe, n’étaient cependant pas transmis avec le protocole sécurisé HTTPS.

La CNIL a rappelé à l’opticien qu’en l’absence d’un « chiffrement du canal de communication » et d’une « authentification du site distant lors de l’accès au site Web », la confidentialité des données ne pouvait pas être assurée.

Par ailleurs, la Commission française reproche à OPTICAL CENTER le manque de robustesse des mots de passe de ses clients et de ses salariés. Les mots de passe utilisés par les salariés pour accéder aux systèmes de l’entreprise étaient, par exemple, modifiés manuellement par la « responsable du site Web », et « aucun mécanisme de renouvellement automatique n’avait été prévu pour faire face à son absence prolongée ». La société n’avait pas non plus défini une politique de gestion des mots de passe concernant l’accès aux ordinateurs des salariés.

De plus, la CNIL reproche également à OPTICAL CENTER de permettre à ses salariés de se connecter aux systèmes de l’entreprise uniquement avec un identifiant et un mot de passe. La Commission estime qu’une authentification forte est nécessaire, avec un second facteur d’authentification.

La CNIL reproche aussi à OPTICAL CENTER de ne pas verrouiller automatiquement les postes de ses salariés en cas d’inactivité de leur part. La Commission estime que cette mesure est essentielle, même si les salariés possèdent des bureaux personnels non accessibles au public, car « la sécurisation globale du système d’information ne peut reposer uniquement sur la sécurité physique des locaux ».

Enfin, la Commission reproche à OPTICAL CENTER de ne pas avoir introduit une « clause relative à la sécurité et à la confidentialité des données », qui préciserait les obligations de son prestataire et indiquerait que ce prestataire ne peut agir que sur instruction de la société.

Une amende de 50 000 € a été prononcée à l’encontre de la société OPTICAL CENTER, soit 0,03 % du chiffre d’affaires de l’entreprise[2].

Lire :

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. La société OPTICAL CENTE déclare avoir un chiffre d’affaires de 170 millions d’euros en 2014 (source : délibération de la CNIL).