Quelques semaines après la mise en application du Règlement Général sur la Protection des données (RGDP), la CNIL a prononcé sa première sanction. Optical Center en fait les frais, à hauteur de 250 000 euros. En cause : l’insuffisance de sécurité des données clients effectuant une commande en ligne à partir du site Internet de l’opticien.
Déjà épinglé en 2015 pour un défaut de sécurité sur son site, avec une amende de 50 000 euros, Optical Center écope cette fois d’une sanction triplée de la part de la Cnil. “En juillet 2017, la CNIL a été informée d’une « fuite de données conséquentes » concernant la société“, indique la Cnil qui lance l’enquête. Ses équipes constatent alors qu’il était possible, en renseignant plusieurs URL dans la barre d’adresse d’un navigateur, “d’accéder à des centaines de factures de clients de la société. Ces factures contenaient des données telles que les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées.” Le défaut de sécurité ? Le site www.optical-center.fr n’intégrait pas de fonctionnalité permettant de vérifier qu’un client était bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société. La Cnil “a ainsi estimé que la mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle“.
Comme à son habitude, compte tenu notamment de la sensibilité des données ayant été rendues librement accessibles et du nombre de clients impactés et de documents (plus de 334 000) contenus dans la base de données de la société à la date de l’incident, la formation restreinte a décidé de rendre publique sa décision.