La CNIL tient parole et sanctionne Optical Center
Depuis des mois, la CNIL met en garde. Toute société n’appliquant pas le nouveau règlement général sur la protection des données s’expose à de lourdes sanctions. Pour beaucoup d’entreprises, les menaces ont été un véritable électrochoc entrainant plusieurs campagnes de mise en conformité. Cependant, nombreux sont ceux qui ont choisi de prendre à la légère les avertissements lancés par la commission. Résultat ? Certains commencent déjà à s’en mordre les doigts, Optical Center les premiers.
250.000 euros, voilà le montant record de l’amende infligée aux opticiens pour « atteinte à la sécurité des données de ses clients ». Une première en France et une sévère punition pas si surprenante quand on sait que la CNIL avait déjà été alertée en juillet 2017 sur un problème récurrent sur le site d’Optical Center
Journée porte-ouverte chez Optical Center…
2015, 2017 et maintenant 2018, le groupe d’opticiens n’en est pas à sa première confrontation avec la CNIL. Il y a 3 ans, l’entreprise se faisait déjà réprimander à cause d’un problème lié à un procédé d’identification vulnérable entrainant l’absence de sécurisation des mots de passe. À l’époque, la société avait écopé d’une amande de 50 000 €, un signal d’alarme qui aurait laissé présager un renforcement des dispositifs de sécurité.
Aujourd’hui, une défaillance du système de sécurité offrant une facilité déconcertante pour un utilisateur lambda d’accéder à ses factures, mais aussi celles des autres, est grandement pointée du doigt. Noms, prénoms et parfois même numéros de sécurité sociale, c’est près de 334 000 documents qui se retrouvent sans protection, en téléchargement libre et sans vérification d’identité préalable.
Une dernière mise en garde
Malgré tout, au vu des sommes annoncées dans les textes officiels du RGPD, force est de constater qu’Optical Center s’en sort plutôt bien. En effet, les montants sont assez éloignés des 4% du chiffre d’affaire, soit 20 000 000 €, d’une société comme celle-ci. Il semblerait que deux semaines après l’entrée en vigueur de la nouvelle législation, la CNIL soit encore clémente, ce qui ne devrait pas durer.
Depuis le 25 mai dernier, les pouvoirs conférés à la CNIL ont radicalement été revues à la hausse. Il semble donc impératif pour les entreprises collectant des données à caractère personnel de se conformer au nouveau règlement, de mettre à jour leurs sites web et le traitement de leurs données. À bon entendeur !
Sources :
- CNIL :Â https://www.cnil.fr/fr/optical-center-sanction-de-250000eu-pour-une-atteinte-la-securite-des-donnees-des-clients-du-site
- Siècle Digital: https://siecledigital.fr/2018/06/08/donnees-personnelles-optical-center-sanctionne-par-cnil/
- Les Echos :Â https://www.lesechos.fr/industrie-services/conso-distribution/0301778170714-donnees-personnelles-une-amende-record-pour-optical-center-2182198.php