Nouvelle sanction publique spectaculaire pour l'opticien Optical Center : la CNIL vient de lui infliger une amende de 250 000 euros. La société est une récidiviste du défaut de sécurité puisqu'elle avait déjà été sanctionnée pour des faits similaires en 2015. En 2014, l'accès au site n'était pas chiffré, les prestataires non-contraints contractuellement en matière de sécurité, les mots de passe non-sécurisés, l'authentification insuffisante et la simple mise en demeure avait été insuffisante, débouchant sur une sanction en 2015. Cette année, c'est l'accès aux factures (avec données de prescriptions médicales incluses) qui étaient pratiquement en libre-accès.
Suite à un signalement, la CNIL a en effet procédé à un contrôle en ligne. Ses inspecteurs ont pu constater qu'en modifiant de manière simple l'URL de consultation d'un dossier client, il était simple de consulter les données d'autres clients, avec des informations d'ordre médical (la correction ophtalmique) ou le très sensible numéro de sécurité sociale. Cette fois, la CNIL indique que Optical Center a immédiatement averti son prestataire. « Tout en soulignant la réactivité de la société dans la résolution de la faille, la formation restreinte [de la CNIL, en charge de l'instruction des sanctions] a considéré que la question de la restriction d'accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l'objet d'une attention particulière de la part de la société » précise l'autorité administrative indépendante. La récidive et la quantité de données accessibles (334 000 documents) ont expliqué la lourdeur de la sanction. Mais, heureusement pour Optical Center, le RGPD n'était pas encore applicable. La prochaine fois, la sanction pourra atteindre 4 % du chiffre d'affaires mondial.
Commentaire