250 000 euros. C’est le montant de l’amende qui a été infligée à l’entreprise Optical Center par la Commission nationale de l’informatique et des libertés. Dans un communiqué publié jeudi 7 juin, l’autorité de protection des données personnelles explique que la société n’a pas suffisamment protégé les informations de sa clientèle effectuant une commande en ligne depuis son site web.
« Le site www.optical-center.fr n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société », commente la CNIL. Il était possible d’accéder à des renseignements personnels, de contact, de paiement mais aussi administratifs.
En modifiant l’URL dans la barre d’adresse du navigateur, un internaute pouvait accéder aux factures dans lesquelles étaient inscrits des éléments comme le nom et le prénom du client, son adresse postale et des données de santé — la correction ophtalmologique, en l’occurrence. Certaines factures donnaient même le numéro de sécurité sociale.
Parlant d’une « fuite de données conséquente », la CNIL, qui a effectué ses contrôles à la fois en ligne mais aussi dans les locaux de l’opticien, a décidé de prononcer une sanction.
Une « fuite de données conséquente »
Et cela, même si la société, « qui a reconnu que son site présentait bien un défaut de sécurité », s’est montrée réactive « dans la résolution de la faille » et « s’est rapprochée de son prestataire pour qu’il prenne les mesures nécessaires afin de mettre fin à cet incident de sécurité ».
En effet, « la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière » d’Optical Center, car il s’agit ici d’une fonctionnalité constituant une « précaution d’usage essentielle ». En outre, la CNIL rappelle que l’opticien s’est déjà fait épingler en 2015 pour un défaut de sécurité. À l’époque, il avait dû payer une amende de 50 000 euros.
Quant à la décision de médiatiser la sanction, la CNIL explique avoir tenu compte du caractère sensible des données en question et du nombre de personnes et de documents en jeu.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
