Le 07 juin dernier, la Commission nationale de l’informatique et des libertés (CNIL) a condamné la société Optical Center à une amende de 250.000 euros pour manquement à son obligation de sécurité des données personnelles de ses clients.


En l'espèce, le 28 juillet 2017, la CNIL fut saisie d'un signalement faisant état d'une fuite de données à caractère personnel conséquente des clients de la société Optical Center. Les vérifications effectuées par la CNIL ont permis de constater que des informations telles que les nom, prénom, date de naissance, adresse postale ou même correction ophtalmologique et numéro de sécurité sociale des clients de cette société étaient librement accessibles à partir de plusieurs URL dans la barre d’adresse d’un navigateur.


Précisément, il était reproché à la société Optical Center de n’avoir pas prévu de fonctionnalité d’authentification préalable à l'accès à l’espace client. De sorte que, n'importe quel client avait la possibilité d’accéder aux informations de n'importe quel autre client, et ce depuis au moins décembre 2016, date de la mise en production du code permettant la visualisation des URL signalées.


Prévenue, la société Optical Center s'est rapidement conformée, ce qui n'a pas empêché sa condamnation de la part de la CNIL, qui a considéré que la sécurisation des données personnelles des clients aurait dû faire l'objet d'une précaution d'usage essentielle de la part de la société.


Cette dernière s'est alors fondée sur le I de l’article 45 de la loi du 6 janvier 1978 modifiée, pour arguer que Présidente de la CNIL aurait dû préalablement la mettre en demeure de corriger ce manquement avant de recourir éventuellement à une condamnation pécuniaire si la faille n’avait pas été couverte dans un délai raisonnable.


Cet argument n’a pas convaincu la CNIL, qui a au contraire estimé que le prononcé d’une sanction n’était pas subordonné à l’adoption préalable systématique d’une mise en demeure. S’en est inéluctablement suivi une condamnation pour manquement à l’article 34 de la loi du 6 janvier 1978 modifiée d'après lequel : «le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »


Même si la formation restreinte de la CNIL constituée dans le cadre de cette affaire a reconnu que la faille de sécurité avait été réparée par la société dans des délais assez brefs après qu’elle en ait été alertée, la décision fût prise de rendre publique la sanction en raison notamment du nombre important de dossiers impactés, plus de 334.000. De plus, une sanction de 50 000 euros avait déjà été prononcée en raison d’un défaut de sécurité en 2015.


Rappelons que Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification. Reste à savoir si la société Optical Center usera de ce droit.



SOURCES :

• Délibération n°SAN-2018-002 du 7 mai 2018 de la formation restreinte n° SAN-2018-002 du 7 mai 2018 prononçant une sanction pécuniaire à l’encontre de la société OPTICAL CENTER

• Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par LOI n°2016-1321 du 7 octobre 2016

• Décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007

• Site internet : CNIL actualités