Cet article date de plus de sept ans.

Sécurité des données sur internet : la CNIL prononce une sanction de 250 000 euros à l'encontre d'Optical Center

La société avait reconnu un défaut de sécurité qui permettait de retrouver les factures en ligne de ses clients.

franceinfo

France Télévisions

Publié le 07/06/2018 12:05 Mis à jour le 07/06/2018 12:09

Temps de lecture : 2min

La CNIL explique avoir été informée, en 2017, d'une fuite de données "conséquentes" depuis le site internet du groupe. (MAXPPP)

Plus de 334 000 documents étaient concernés par cette défaillance. La CNIL (commission nationale de l'informatique et des libertés) a annoncé, jeudi 7 juin, avoir prononcé une sanction de 250 000 euros à l'encontre de la société Optical Center, entreprise française spécialisée dans l'optique et l'audition, pour ne pas avoir suffisamment sécurisé les données des clients qui commandent via son site internet.

Factures, adresses et numéros de sécu

La CNIL explique avoir été informée, en 2017, d'une fuite de données "conséquentes" depuis le site internet du groupe. "Un contrôle en ligne a permis aux équipes de la CNIL de constater qu’il était possible, en renseignant plusieurs URL dans la barre d’adresse d’un navigateur, d’accéder à des centaines de factures de clients de la société. Ces factures contenaient des données telles que les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées."

La société a, au cours d'un contrôle dans ses locaux, reconnu un défaut de sécurité, notamment l'absence de vérification qu'un client est bien connecté à son espace personnel avant de lui afficher ses factures, ce qui permettait à d'autres client d'accéder à ces données.

La CNIL souligne toutefois la réactivité de la société face à cette faille, mais ajoute que "la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société", et rappelle avoir déjà prononcé une sanction de 50 000 euros en raison d'un défaut de sécurité, en 2015.