250 000 euros. C’est le montant de l’amende qui a été infligée à l’entreprise Optical Center par la Commission nationale de l’informatique et des libertés. Dans un communiqué publié jeudi 7 juin, l’autorité de protection des données personnelles explique que la société n’a pas suffisamment protégé les informations de sa clientèle effectuant une commande en ligne depuis son site web.
« Le site www.optical-center.fr n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société », commente la CNIL. Il était possible d’accéder à des renseignements personnels, de contact, de paiement mais aussi administratifs.
En modifiant l’URL dans la barre d’adresse du navigateur, un internaute pouvait accéder aux factures dans lesquelles étaient inscrits des éléments comme le nom et le prénom du client, son adresse postale et des données de santé — la correction ophtalmologique, en l’occurrence. Certaines factures donnaient même le numéro de sécurité sociale.
Parlant d’une « fuite de données conséquente », la CNIL, qui a effectué ses contrôles à la fois en ligne mais aussi dans les locaux de l’opticien, a décidé de prononcer une sanction.
Une « fuite de données conséquente »
Et cela, même si la société, « qui a reconnu que son site présentait bien un défaut de sécurité », s’est montrée réactive « dans la résolution de la faille » et « s’est rapprochée de son prestataire pour qu’il prenne les mesures nécessaires afin de mettre fin à cet incident de sécurité ».
En effet, « la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière » d’Optical Center, car il s’agit ici d’une fonctionnalité constituant une « précaution d’usage essentielle ». En outre, la CNIL rappelle que l’opticien s’est déjà fait épingler en 2015 pour un défaut de sécurité. À l’époque, il avait dû payer une amende de 50 000 euros.
Quant à la décision de médiatiser la sanction, la CNIL explique avoir tenu compte du caractère sensible des données en question et du nombre de personnes et de documents en jeu.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !