Menu
Vous êtes ici : Accueil > Actualités > Actualités > Données personnelles : Optical Center, un multirécidiviste pour la CNIL

Données personnelles : Optical Center, un multirécidiviste pour la CNIL

Le 13 juillet 2018
Données personnelles : Optical Center, un multirécidiviste pour la CNIL

La récente application du Règlement Général pour la Protection des données a permis de médiatiser les nombreuses sanctions prononcées contre les sociétés violant le respect de la vie privée des personnes. Phénomène européen, la CNIL britannique a récemment sanctionné la police du Gloucestershire à hauteur de 80.000 livres pour avoir envoyé un email à 56 destinataires sans avoir utilisé la fonction « copie cachée » et révélé les noms de victimes, témoins, avocats et journalistes[1], ainsi que l’opérateur BT sanctionné à hauteur de 77 0000 livres pour avoir envoyé plus de cinq millions de courriers spams destinés à faire la promotion d’association caritatives.

Absence de sécurisation des données

En France et dans la continuité des décisions de sanctions de la CNIL depuis le début d’année, la société Optical Center a été condamné le 7 mai dernier[2] à 250 000 euros pour avoir insuffisamment sécurisé les données de ses clients effectuant une commande en ligne à partir de son site internet.

Informé d’une fuite de données en juillet 2017, un contrôle de la CNIL a permis de constater l’accès facile à plusieurs centaines de factures de clients de la société pouvant comprendre notamment des données de santé – correction ophtalmologique ou le numéro de sécurité sociale. Optical Center s’est alors rapproché de son prestataire afin de résoudre au plus vite la faille informatique.

Une deuxième sanction

En 2015, Optical Center avait déjà été condamné par la CNIL[3] au règlement de la somme de 50 000 euros pour différents manquements à la sécurisation des données des clients, confirmé sur recours par le Conseil d’Etat[4]. Etaient en cause le défaut de chiffrement des données circulant sur la plateforme – protocole http au lieu d’https, ainsi que l’absence dans un contrat de clause précisant les obligations d’un sous-traitant en matière de protection de la sécurité et de la confidentialité des données des clients. L’absence de réaction suite la mise en demeure par la CNIL ainsi que les « manque de coopération et résistance de la société lors de l’instruction » ont notamment motivé la condamnation.

Contestant cette nouvelle sanction, la CNIL a manifesté son souhait de faire à nouveau un recours devant le Conseil d’Etat arguant notamment qu’aucun client n’a subi de préjudice et Optical Center aucune erreur ».



[1] Retrouvez la décision, https://ico.org.uk/media/action-weve-taken/mpns/2259182/gloucestershire-police-mpn-20180611.pdf
[2] Délibération n°SAN-2018-002 publiée le 7 juin 2018
[3] CNIL, 5 novembre 2015, délibération n°2015-379
[4] CE, 19 juin 2017, n° 396050 ; Confirmation partielle de la sanction à l’exception des mesures de publication imposées

Cette actualité est associée aux catégories suivantes : Actualités