La Cnil vient d’infliger une amende de 250 000 € à Optical Center, société qui vend des lunettes et des produits d’optique. Cette entreprise n’a pas suffisamment assuré la sécurité et la confidentialité des données de ses clients.
La formation restreinte de la Cnil (Commission nationale de l’informatique et des Libertés) a prononcé une sanction de 250 000 € à l’encontre d’Optical Center, société de la distribution de produits d’optique et de lunettes, pour ne pas avoir suffisamment assuré la sécurité et la confidentialité des données de ses clients.
Informée d’une « fuite de données conséquentes » émanant de la société Optical Center, la Commission a procédé à un contrôle en juillet 2017.
Lors de leur inspection, les agents de la Cnil ont constaté qu’il était possible, en renseignant plusieurs URL dans la barre d’adresse d’un navigateur, d’accéder à des centaines de factures de clients de la société. Ces factures contenaient des données telles que les nom, prénom, adresse ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées.
Alertée le même jour par la Cnil, la société s’est rapprochée de son prestataire pour qu’il prenne les mesures nécessaires afin de mettre fin à cet incident. Un contrôle sur place a été mené dans les locaux de la société Optical center, qui a reconnu que son site internet optical-center.fr n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant d’afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société.
Tout en soulignant la réactivité de la société dans la résolution de la faille informatique, la formation restreinte de la Cnil a sanctionné le lunetier en considérant que « la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société ».
Elle a également relevé que la société ne pouvait pas ignorer les risques liés à un défaut de sécurisation de son site dès lors qu’une sanction de 50 000 euros avait déjà été prononcée en 2015 à cause d’un défaut de sécurité.
Source : Le Figaro
Pensez à nous consulter pour votre projet Cyber Risques !
01.69.49.40.48 ou iard@legitimconseil.fr