Pour ne pas avoir assez bien sécurisé les données personnelles de ses client, l’entreprise spécialisée dans l’optique écope d’une amende de 250 000€ émanant de la CNIL. Un moindre mal puisque la faille date d’avant l’entrée en vigueur du RGPD.
Saisie dès juillet 2017, la CNIL vient de rendre son verdict concernant la faille de sécurité qui rendait visibles les données personnelles de ses clients. Elle condamne Optical Center à une amende de 250 000€. Une amende record pour certain, mais surtout bien inférieure à ce qu’elle aurait dû être si la faille avait été constatée après l’entrée en vigueur du RGPD.
Les factures de la discorde
La faille était très simple à utiliser. En renseignant plusieurs URL dans la barre de recherche d’un navigateur internet quelconque, des centaines de milliers de factures étaient alors accessibles. Damien Bancal, journaliste spécialisé cyber-sécurité, explique précisément de quoi il retournait.
Sur la toile, un espace dédié au client et l’accès aux commandes/factures. Des documents sous forme de page web ou de PDF accessible via une adresse Internet dédiée. L’url était de type www.optical-center.fr/blablabla/id=92829. Il suffisait de changer le chiffre après id= pour accéder aux informations privées et sensibles des autres clients. Heureusement, aucune donnée bancaire, mais tout le reste : Nom, prénom, adresse, date de naissance, numéro de sécurité sociale, données médicales (corrections, …). Plus de 350.000 factures étaient accessibles avant l’intervention de la CNIL. Il n’était pas utile d’être client et d’avoir un compte pour lire les données.
Dans son communiqué, la CNIL explique avoir procédé à un contrôle sur place dans les locaux de la société. Elle a alors reconnu un défaut de sécurité. « En l’espèce, le site www.optical-center.fr n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société. »
Une amende très faible
Au final, la CNIL a condamné Optical Center à une amende de 250 000€. Une amende décrite comme record pour plusieurs médias. Néanmoins, avec l’entrée en vigueur du RGPD, Optical Center bénéficie d’une certaine clémence dans la sanction. En effet, le nouveau texte de loi explique qu’une telle infraction peut mener à une amende allant jusqu’à 10 000 000€ ou 2% du chiffre d’affaires annuel mondial pour les cas les moins graves, à 20 000 000€ ou 4% du chiffre d’affaires annuel mondial pour les cas les plus graves.
La CNIL salue la réactivité de l’entreprise dans la prise en charge du problème. Mais elle n’oublie pas de rappeler qu’une amende de 50 000€ avait déjà été prononcée en raison d’un défaut de sécurité en 2015.
