En juillet 2017, la CNIL (Commission nationale de l’informatique et des libertés) a été informée d’une “fuite de données conséquente” concernant la société Optical Center.
La formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 250 000 euros le 7 mai 2018, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.
Des centaines de factures de clients de la société étaient accessibles via l’URL d’un simple navigateur. Nom, prénom, adresse postale, mais également données de santé (correction ophtalmologique) ou encore numéro de sécurité sociale ; toutes ces données étaient lisibles sur les factures concernées.
Le jour de la découverte de cette brèche informatique, la CNIL alerte la société qui se tourne vers son prestataire pour qu’il prenne les mesures nécessaires afin de corriger le problème.
Après un contrôle effectué dans les locaux de la société Optical Center, l’entreprise a reconnu que son site internet était dangereux pour la sécurité de ses clients. En l’espèce, le site “www.optical-center.fr” n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (“espace client”) avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société.
Une procédure de sanction à l’encontre de l’entreprise
Un rapporteur, désigné par la présidente de la CNIL, a été désigné pour engager une procédure de sanction à l’encontre de l’entreprise.
La formation restreinte a considéré que la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de l’entreprise. Elle a tout de même précisé que la société avait fait preuve d’une grande réactivité dans la résolution du problème.
Un cas de récidive
Optical Center avait déjà été condamnée en 2015 par la CNIL à 50 000 euros d’amende pour un défaut de sécurité. La formation restreinte a donc jugé que la société connaissait déjà les risques d’une telle faille.
La formation restreinte a décidé de rendre publique sa décision, compte tenu de la particulière sensibilité des données ayant été rendues librement accessibles, du nombre de clients impactés et du volume de documents (plus de 334 000 factures) contenus dans la base de données de la société.
