CNIL, Délibération n°SAN- 2018-002 du 7 mai 2018
La CNIL a condamné la société OPTICAL CENTER à régler une sanction pécuniaire à hauteur de 250 000 €, après avoir constaté que cette dernière avait manqué à son obligation d’assurer la sécurité et la confidentialité des données de ses clients enregistrées sur son site internet.
Ce qu’il faut retenir : La CNIL a condamné, sur le fondement de la Loi informatique et Libertés dans sa version applicable en juillet 2017, la société OPTICAL CENTER à régler une sanction pécuniaire à hauteur de 250 000 €, après avoir constaté que cette dernière avait manqué à son obligation d’assurer la sécurité et la confidentialité des données de ses clients enregistrées sur son site internet www.optical-center.fr.
En effet, la CNIL a constaté que la société n’avait pas pris les mesures de sécurité élémentaires en amont de la mise en œuvre d’une nouvelle fonctionnalité de son site internet. Elle a ainsi relevé que « le site internet de la société, qui permet d’effectuer des commandes en ligne après avoir créé un compte dédié, n’intégrait pas de fonctionnalité permettant de vérifier qu’un client s’est bien authentifié à son espace personnel avant de lui donner accès auxdits documents. »
Pour approfondir : La CNIL a été informée, en juillet 2017, d’une faille de sécurité concernant la société OPTICAL CENTER. A l’issue d’un contrôle réalisé en ligne, la CNIL a constaté qu’il était possible d’accéder librement, à partir d’adresses URL, à des factures de clients ayant passé commande en ligne. Ces factures contenaient les données à caractère personnel suivantes : nom, prénom, adresse postale, données de santé, date de naissance et, parfois même, le numéro de sécurité sociale.
La société a immédiatement reconnu auprès de la CNIL le défaut de sécurité résidant dans l’absence de contrôle de connexion d’un client à son compte avant l’affichage de son contenu.
A l’issue d’une procédure contradictoire devant la commission restreinte de la CNIL, la société a été condamnée à une sanction pécuniaire de 250 000 €, telle que proposée par le rapporteur.
Pour mémoire, le maximum encouru était alors de 3 millions d’euros.
La CNIL a tenu compte de nombreux éléments pour suivre les conclusions du rapporteur. Elle a, dans un premier temps, constaté que le manquement relevé à l’encontre du responsable de traitement à son obligation de sécurité était d’une particulière gravité. En effet, elle relève que ce sont des mesures élémentaires de sécurité qui n’ont pas été mises en œuvre par le responsable de traitement. Il lui appartenait de mettre en place une fonctionnalité permettant la restriction d’accès des documents mis à la disposition des clients sur leur espace dédié, ce qui constitue une précaution d’usage essentielle.
La CNIL s’est également fondée sur le fait que la base de données de la société contenait plus de 330 000 documents à la date de constatation de la faille de sécurité, et que ce défaut a rendu librement accessible des données à caractère personnel telles que nom, prénom, date de naissance, mais également des données sensibles au sens de l’article 8 de la Loi Informatique et Libertés, à savoir des données de santé et le numéro de sécurité sociale. Il est donc indéniable que la quantité et la nature sensible ou non de données manipulées sont des critères retenus par l’autorité administrative pour fixer le quantum de la sanction. Le risque ainsi créé pour les personnes dont les données étaient librement accessibles de se voir l’objet d’un hameçonnage ciblé (phishing) a également été souligné par la CNIL.
Enfin, le fait que le responsable de traitement ait été condamné deux ans auparavant par la même autorité à une sanction pécuniaire de 50 000 € rend d’autant plus grave, bien que la CNIL s’en défende expressément dans cette décision, le manquement constaté. Cette première amende aurait naturellement dû inciter la société OPTICAL CENTER à la plus grande vigilance en matière de sécurité et confidentialité des données à caractère personnel dans le cadre de la mise en œuvre de ses traitements.
A rapprocher : Art. 34 de la Loi Informatique et Libertés ; Art. 8 de la Loi Informatique et Libertés
2084 vues 
