Partager:
L'autorité française de protection des données personnelles, la Cnil, a infligé jeudi une amende record de 250.000 euros à la chaîne de magasins d'optique Optical Center, pour une atteinte à la sécurité des données de ses clients.
C'est la première fois que la Cnil (Commission nationale de l'informatique et des libertés) impose une amende aussi forte, a-t-on appris auprès de l'autorité.
Après avoir été alertée en juillet 2017, la Cnil a constaté qu'il était possible à un client utilisant le site d'Optical Center "d'accéder à des centaines de factures" d'autres clients, "en renseignant plusieurs URL dans la barre d'adresse de son navigateur".
Ces factures contenaient des données telles que les nom, prénom, adresse postale, et corrections ophtalmologiques, et dans certains cas le numéro de sécurité sociale.
Optical Center avait déjà été sanctionné par la Cnil pour un défaut de sécurité sur son site en 2015, écopant d'une amende de 50.000 euros.
Le pouvoir de sanction de la Cnil avait été renforcé par la loi de 2016 pour la protection des données personnelles, le plafond des amendes jusque-là fixé à 150.000 euros passant à 3 millions d'euros.
Le nouveau règlement européen sur la protection des données (RGPD) entré en vigueur le 25 mai donne un pouvoir de sanction encore accru, puisque celles-ci pourront atteindre jusqu'à 20 millions d'euros et 4% du chiffre d'affaires.
Mais seuls les faits constatés après l'entrée en vigueur du règlement seront concernés par ces sanctions.
Selon la Cnil, le site internet d'Optical Center "n'intégrait pas de fonctionnalité permettant de vérifier qu'un client est bien connecté à son espace personnel avant de lui afficher ses factures".
"Il était ainsi relativement simple d'accéder aux documents d'un autre client de la société", a souligné l'autorité de protection des données personnelles.
