C’est une première en France, l’autorité française de protection des données a décidé de lourdement sanctionner Optical Center, suite à une atteinte à la sécurité des données de ses clients. Quelques jours après la mise en place du RGPD, la CNIL a décidé d’infliger une amende record d’un montant de 250 000 euros à la chaîne d’opticiens.
Que s’est-il exactement passé chez Optical Center ?
Dans ce dossier, l’alerte initiale concernant une possible fuite de données personnelles remonte à 2017. D’après Le Point, à cette époque, la CNIL constate qu’il est possible pour un client qui surfe sur le site d’Optical Center « d’accéder à des centaines de factures » d’autres clients en exploitant une faille de sécurité. En effet, il suffirait d’entrer de multiples URLs dans la barre d’adresse d’un onglet de navigation pour accéder à des données sensibles comme des ordonnances de corrections ophtalmologiques ou encore des numéros de sécurité sociale.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Théoriquement, cela équivaut à près de trois millions de documents en téléchargement libre, sans aucune protection ni vérification d’identité. D’ailleurs, le motif invoqué est bel et bien le fait que le site internet d’Optical Center n’intègre pas de processus permettant de vérifier qu’un client est connecté à son espace personnel, avant de lui donner accès à de multiples factures.
Sans doute que la première amende, infligée en 2015 à Optical Center, pour un important défaut de sécurité, a pesé lourd dans la balance quant au choix de la dernière sanction appliquée. Par ailleurs, depuis le 25 mai 2018 et l’entrée en vigueur du RGPD, les pouvoirs accordés de la CNIL ont significativement augmenté. De fait, les enseignes collectant des données à caractère personnel doivent impérativement vérifier la conformité de leurs sites web et si cela est nécessaire, les faire évoluer.