Fuite de données personnelles : Optical Center échappe de peu au RGPD

Pour ne pas avoir assez bien sécurisé les données personnelles de ses client, l’entreprise spécialisée dans l’optique écope d’une amende de 250 000€ émanant de la CNIL. Un moindre mal puisque la faille date d’avant l’entrée en vigueur du RGPD. 

Saisie dès juillet 2017, la CNIL vient de rendre son verdict concernant la faille de sécurité qui rendait visibles les données personnelles de ses clients. Elle condamne Optical Center à une amende de 250 000€. Une amende record pour certain, mais surtout bien inférieure à ce qu’elle aurait dû être si la faille avait été constatée après l’entrée en vigueur du RGPD. 

Les factures de la discorde

La faille était très simple à utiliser. En renseignant plusieurs URL dans la barre de recherche d’un navigateur internet quelconque, des centaines de milliers de factures étaient alors accessibles. Damien Bancal, journaliste spécialisé cyber-sécurité, explique précisément de quoi il retournait. 

Sur la toile, un espace dédié au client et l’accès aux commandes/factures. Des documents sous forme de page web ou de PDF accessible via une adresse Internet dédiée. L’url était de type www.optical-center.fr/blablabla/id=92829. Il suffisait de changer le chiffre après id= pour accéder aux informations privées et sensibles des autres clients. Heureusement, aucune donnée bancaire, mais tout le reste : Nom, prénom, adresse, date de naissance, numéro de sécurité sociale, données médicales (corrections, …). Plus de 350.000 factures étaient accessibles avant l’intervention de la CNIL. Il n’était pas utile d’être client et d’avoir un compte pour lire les données.  

 

Dans son communiqué, la CNIL explique avoir procédé à un contrôle sur place dans les locaux de la société. Elle a alors reconnu un défaut de sécurité. « En l’espèce, le site www.optical-center.fr n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société. » 

Une amende très faible

Au final, la CNIL a condamné Optical Center à une amende de 250 000€. Une amende décrite comme record pour plusieurs médias. Néanmoins, avec l’entrée en vigueur du RGPD, Optical Center bénéficie d’une certaine clémence dans la sanction. En effet, le nouveau texte de loi explique qu’une telle infraction peut mener à une amende allant jusqu’à 10 000 000€ ou 2% du chiffre d’affaires annuel mondial pour les cas les moins graves, à 20 000 000€ ou 4% du chiffre d’affaires annuel mondial pour les cas les plus graves. 

La CNIL salue la réactivité de l’entreprise dans la prise en charge du problème. Mais elle n’oublie pas de rappeler qu’une amende de 50 000€ avait déjà été prononcée en raison d’un défaut de sécurité en 2015.  

Ajouter aux articles favoris
Please login to bookmarkClose
0 Shares:
Découvrez nos analyses et capsules vidéos
Lancer la vidéo

Gel des tarifs santé en 2026 : Stéphanie Rist répond à Charles de Courson

Lancer la vidéo

PLFSS 2026 : Stéphanie Rist défend le principe de la taxe Ocam

Lancer la vidéo

PLFSS 2026 : rejet du socle solidaire et responsable par Thibault Bazin

Lancer la vidéo

Webinaire Tripalio #3 : les CCN face à l'assurance obsèques de l'enfant de -12 ans

You May Also Like

Avis d’extension d’un accord territorial (Haute-Marne) à la CCN de la métallurgie

Le ministre du travail et des solidarités, envisage d’étendre, par avis publié le 10 juillet 2026, les dispositions de l’accord territorial (Haute-Marne) du 3 juin 2026 relatif à la détermination de la valeur de point pour le calcul de la prime d'ancienneté à compter du 1er juillet 2026, conclu dans le cadre de la convention collective nationale de la métallurgie (...

Avis d’extension d’un avenant à la CCN des entreprises au service de la création et de l’événement

Le ministre du travail et des solidarités envisage d’étendre, par avis publié le 10 juillet 2026, les dispositions de l’avenant n° 7 du 1er juin 2026 relatif aux négociations annuelles obligatoires portant sur les salaires minimaux, conclu dans le cadre de la convention collective nationale des entreprises techniques au service de la création et de l’événement du 27 juin...