Optical Center a été sanctionné par la CNIL pour un manquement à ses obligations de sécurité d’une amende de 250.000 euros. La faille de sécurité permettait notamment d’accéder aux numéros de sécurité sociale des clients.
La sanction de la CNIL
La CNIL a sanctionné Optical Center d’une amende de 250.000 euros avec publication de la décision. Cette sanction a été justifiée par une grande faille de sécurité. En effet, de nombreux fichiers clients comportant des données personnelles étaient accessibles par une simple modification du paramètre « id » de l’adresse URL. Il était possible d’accéder aux données d’autres clients dont le numéro de sécurité sociale.
L’autorité de contrôle a estimé qu’Optical Center n’avait pas pris les précautions de sécurité suffisantes comme la mise en place d’un système d’authentification des clients. Le manquement à l’obligation de sécurité et la fuite de données qui en résulte ont justifié le montant de l’amende. Cependant, Optical Center a souhaité contester l’amende et saisir le Conseil d’État.
La décision du Conseil d’Etat
Le Conseil d’Etat a rendu l’examen de cette requête le 17 avril 2019. Optical Center n’a pas pris les précautions de sécurité suffisantes et nécessaires pour la sécurité des données clients. Il aurait par exemple fallu effectuer des tests en amont pour s’assurer qu’aucune fuite de données ne soit possible.
Ainsi, le Conseil d’Etat confirme la sanction de la CNIL et lui confère le pouvoir de sanctionner un responsable de traitement sans procéder à une mise en demeure préalable. Cela est possible dès lors que les manquements ne sont pas susceptibles d’être régularisés ou qu’il y ait déjà été remédié. Responsables de traitement, prenez garde !
Deshoulières Avocats vous accompagne à chaque étape de votre mise en conformité RGPD. Notre cabinet expert en protection des données conseille et défend plus de 600 acteurs des nouvelles technologies.
Sources :
