La CNIL[1] a sanctionné la société OPTICAL CENTER, le 6 janvier 2021, pour des manquements relatifs au RGPD[2].

Le 4 janvier 2019, la société OPTICAL CENTER a notifié à la CNIL qu’une « attaque » de son site Internet avait eu lieu, attaque qui a conduit à la divulgation des données personnelles de 200 000 clients de la société. Les données qui ont été divulguées concernaient le nom, prénom, adresse, numéro de téléphone, adresse e-mail et la date de naissance des clients, et pour 23 000 personnes, le numéro de Sécurité sociale des clients.

Suite à cette notification, la CNIL a effectué des contrôles. Ces contrôles ont montré que des vulnérabilités étaient présentes dans le système informatique d’OPTICAL CENTER, car la société n’effectuait pas un « contrôle régulier sur les mesures techniques et organisationnelles prises par son sous-traitant chargé d’assurer la sécurité de son site web ». La société n’était, par exemple, pas capable de « justifier de la mise à jour régulière des différents composants logiciels du site ». La Commission française a, par conséquent, estimé que la société n’avait pas respecté l’obligation de sécurité imposée par le RGPD[3].

La CNIL reproche également à OPTICAL CENTER le manque de robustesse de sa politique de mots de passe[4], ce qui a « accru l’exposition de son système à un risque d’attaque informatique ».

Par ailleurs, la Commission reproche à l’opticien français de ne pas avoir communiqué une adresse e-mail fonctionnelle aux clients pour leur permettre d’exercer leurs droits[5]. L’adresse communiquée par la société était simplement « erronée » et n’a été corrigée « qu’à l’issue d’un délai de plus de six mois, et postérieurement au contrôle », ce qui est contraire à l’obligation de faciliter l’exercice des droits imposée par le RGPD[6].

Enfin, la Commission reproche à OPTICAL CENTER de ne pas avoir transmis directement les demandes de droit d’accès à son sous-traitant en charge de la prospection par voie postale.

Une amende de 250 000 € a été prononcée à l’encontre de la société OPTICAL CENTER, soit 0,12 % du chiffre d’affaires de l’entreprise[7]. La société a également l’obligation de se mettre en conformité sous trois mois, sous peine d’une astreinte de 500 euros par jour.

Le contenu complet de cette décision n’est pas proposé car elle n’a pas été rendue publique par la CNIL.

OPTICAL CENTER fait appel de cette décision

La société OPTICAL CENTER a fait appel de cette décision. La société a demandé au Conseil d’État d’annuler la sanction, ou à défaut de réduire le montant de l’amende, et a demandé à être indemnisée à hauteur de 6 000 €.

L’appel de la société a cependant été rejeté le 26 avril 2022. La Cour a indiqué que la CNIL n’avait fait « aucune erreur d’appréciation en retenant que la société avait méconnu ses obligations en matière d’exercice des droits des personnes » et que l’amende de 250 000 € infligée était « proportionnée » compte tenu des éléments, du chiffre d’affaires de 202 millions d’euros de la société et du fait que la société avait déjà été « sanctionnée à deux reprises[8][9] au cours des cinq dernières années pour des manquements à la sécurité des données à caractère personnel et un manquement lié à la sous-traitance de ses traitements de données ».

Lire :

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. Le RGPD demande aux responsables de traitement de données à caractère personnelles de prendre des « mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-2). Un logiciel informatique obsolète, non mis à jour, est un manquement à cette obligation si ce logiciel contient des données à caractère personnel.
  4. Pour améliorer la sécurité, les mots de passe doivent contenir un certain nombre de caractères et certains caractères spéciaux. Voir « Quelles restrictions imposer aux mots de passe de ses utilisateurs ? ».
  5. Le RGPD donne un certain nombre de droits aux personnes comme le droit d’obtenir une copie des données ou le droit de demander la suppression des données. Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
  6. Le RGPD demande aux responsables de traitement de « facilite[r] l’exercice des droits » des personnes (source : RGPD, article 12-2). Cela consiste généralement à proposer une adresse e-mail pour permettre aux internautes d’envoyer simplement leurs demandes. Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
  7. La société OPTICAL CENTER déclare avoir un chiffre d’affaires de 202 millions d’euros en 2017 (source : délibération du Conseil d’État, §10).
  8. La société OPTICAL CENTER a été sanctionnée en 2018 pour n’avoir pas protégé l’accès des factures et bons de commande de ses clients. Voir « L’opticien OPTICAL CENTER sanctionné pour n’avoir pas restreint l’accès aux factures et bons de commande sur son site Internet ».
  9. La société OPTICAL CENTER a été sanctionnée en 2015 pour n’avoir pas sécurisé les mots de passe de ses clients et salariés. Voir « L’opticien OPTICAL CENTER sanctionné pour n’avoir pas correctement sécurisé les mots de passe de ses clients et salariés ».