Fuite de données personnelles: Optical Center condamné à 250.000 euros d'amende

La Commission nationale de l'informatique et des libertés (Cnil) a annoncé jeudi avoir infligé une amende de 250.000 euros à Optical Center, pour atteinte à la sécurité des données des clients du site internet www.optical-center.fr.

Après avoir été informée, en juillet 2017, d'une "fuite de données conséquente" concernant Optical Center, la Cnil a constaté qu'il était possible d'accéder à des centaines de factures de clients de la société, en renseignant plusieurs URL dans la barre d'adresse d'un navigateur.

Une "fuite de données conséquente"

Le site www.optical-center.fr n’intégrait pas de fonctionnalité permettant de vérifier qu’un client était bien connecté à son espace personnel ("espace client") avant de lui afficher ses factures. Or, ces même factures contenaient des données telles que les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées. La faille a depuis été corrigée.

Il s'agit de la seconde sanction infligée par la Cnil à Optical Center. L'entreprise avait écopé en 2015 d'une amende de 50.000 euros pour un défaut de sécurité de son site. La date de délibération, le 7 mai, permet à Optical Center d'éviter une sanction plus conséquente. 

La sanction de 250.000 euros s'avère en effet modeste, eu égard aux nouvelles obligations prévues par le RGPD, le règlement européen sur la protection des données personnelles entré en application le 25 mai. Le texte prévoit des sanctions allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires, pour les plus grandes entreprises mondiales.