La société Optical Center condamnée par la CNIL à une amende de 250 000 euros

Le (Mis à jour le 20/09/2022 )

  • Optical-center.jpg

    Un centre Optical Center situé à Rambouillet. (Yvelines) / crédits : wikimedia commons

    • En juillet 2017, la CNIL (Commission nationale de l’informatique et des libertés) a été informée d’une “fuite de données conséquente” concernant la société Optical Center.

    La formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 250 000 euros le 7 mai 2018, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.

    Des centaines de factures de clients de la société étaient accessibles via l’URL d’un simple navigateur. Nom, prénom, adresse postale, mais également données de santé (correction ophtalmologique) ou encore numéro de sécurité sociale ; toutes ces données étaient lisibles sur les factures concernées.

    Le jour de la découverte de cette brèche informatique, la CNIL alerte la société qui se tourne vers son prestataire pour qu’il prenne les mesures nécessaires afin de corriger le problème.

    Après un contrôle effectué dans les locaux de la société Optical Center, l’entreprise a reconnu que son site internet était dangereux pour la sécurité de ses clients. En l’espèce, le site “www.optical-center.fr” n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (“espace client”) avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société.

    Une procédure de sanction à l’encontre de l’entreprise

    Un rapporteur, désigné par la présidente de la CNIL, a été désigné pour engager une procédure de sanction à l’encontre de l’entreprise.

    La formation restreinte a considéré que la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de l’entreprise. Elle a tout de même précisé que la société avait fait preuve d’une grande réactivité dans la résolution du problème.

    Un cas de récidive

    Optical Center avait déjà été condamnée en 2015 par la CNIL à 50 000 euros d’amende pour un défaut de sécurité. La formation restreinte a donc jugé que la société connaissait déjà les risques d’une telle faille.

    La formation restreinte a décidé de rendre publique sa décision, compte tenu de la particulière sensibilité des données ayant été rendues librement accessibles, du nombre de clients impactés et du volume de documents (plus de 334 000 factures) contenus dans la base de données de la société.

     

    0 Commentaire
    Cnil
    Données personnelles
    À lire sur Archimag
    Les podcasts d'Archimag
    La photographie possède un pouvoir fascinant : celui de capturer un instant et de le figer pour l’éternité. Elle raconte des histoires, qu’elles soient personnelles ou collectives, qui traversent le temps et façonnent notre passé, notre présent et notre futur. C’est pourquoi les albums de famille jouent un rôle si important dans la construction de nos souvenirs. Mais avec l’avènement de l’intelligence artificielle générative, capable de créer des images de plus en plus proches de la réalité, une question se pose : comment cette technologie va-t-elle influencer notre mythologie familiale ? Serge Tisseron, psychiatre et docteur en psychologie, explore depuis longtemps nos relations avec les technologies. En cherchant à recréer une photographie de son enfance, il s’est intéressé aux liens entre mémoire, photographie et intelligence artificielle. Il revient sur l’origine de son livre "Le jour où j’ai tué mon frère - Quand l’IA fabrique la photographie de nos souvenirs", publié aux Éditions Lamaindonne.
    Lire la suite...