La CNIL[1] a sanctionné la société OPTICAL CENTER, le 7 mai 2018, pour un manque de sécurité de son site Internet, « OPTICAL-CENTER.FR ».

Le 28 juillet 2017, soit neuf mois plus tôt, la CNIL a été informée que des données à caractère personnel concernant OPTICAL CENTER étaient publiquement accessibles sur le site Internet de la société. Suite à cette notification, la Commission française a effectué des vérifications. Ces vérifications ont montré qu’il était effectivement possible d’accéder, sans authentification préalable, à des factures et bons de commande de la société OPTICAL CENTER, simplement en modifiant l’identifiant de la facture contenu dans l’adresse.

D’après les estimations de la CNIL, plus de 300 000 documents de la société étaient ainsi téléchargeables publiquement. Ces documents contenaient les données à caractère personnel des clients, notamment leur nom, prénom, adresse postale, leur correction ophtalmologique, et pour certains clients, leur date de naissance et leur numéro de Sécurité sociale.

Selon les informations apportées par OPTICAL CENTER, ce défaut de sécurité avait été introduit en décembre 2016. Il est donc resté en ligne pendant une durée de neuf mois.

La CNIL reproche à la société OPTICAL CENTER de ne pas avoir restreint l’accès à ces documents et estime que la société aurait dû intégrer une « fonctionnalité permettant de vérifier qu’un client s’est bien authentifié à son espace personnel avant de lui donner accès auxdits documents ». La Commission a également rappelé à la société que « l’exposition de ressources sans contrôle d’accès préalable est identifiée depuis de nombreuses années comme faisant partie des failles de sécurité devant faire l’objet d’une surveillance particulière et doit, en conséquence, faire l’objet de vérifications notamment dans le cadre d’audits de sécurité ».

Par ailleurs, la Commission considère que les données divulguées « auraient dû faire l’objet de garanties de sécurité renforcées », car elles contiennent les corrections ophtalmologiques des clients, données considérées comme des « données sensibles ».

Une amende de 250 000 € a été prononcée à l’encontre de la société OPTICAL CENTER, soit 0,13 % du chiffre d’affaires de l’entreprise[2].

Lire :

OPTICAL CENTER a fait appel de cette décision

La société OPTICAL CENTER a fait appel de cette décision. La société a demandé au Conseil d’État d’annuler sa sanction, ou à défaut de réduire le montant de l’amende, et a demandé à être indemnisée à hauteur de 6 000 €.

La Cour a indiqué en réponse que la CNIL avait justement « caractérisé l’existence d’un manquement aux obligations de sécurité » prévue par la loi, mais que la sanction était « disproportionnée », étant donné la « célérité avec laquelle la société OPTICAL CENTER a apporté les mesures correctrices de nature à remédier aux manquements constatés ». La Cour considère qu’une sanction de 200 000 euros, soit 50 000 euros de moins, est plus juste.

Lire :

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. La société OPTICAL CENTE déclare avoir un chiffre d’affaires de 193 millions d’euros en 2016 (source : délibération de la CNIL).