Juridique

Optical Center : 50 000 euros d'amende pour un défaut de sécurité de données clients

La chaîne d'optique Optical Center comprend environ 400 magasins

La CNIL vient de sanctionner lourdement la chaîne d'optique Optical Center en lui infligeant une amende de 50 000 euros. Malgré une première mise en demeure, toutes les requêtes de la CNIL n'avaient pas été satisfaites.

PublicitéOui, la CNIL (Commission Nationale Informatique et Libertés) peut se fâcher. Même si la majorité des « sanctions » infligées par l'autorité administrative indépendante reste du domaine du symbole ou de la mauvaise publicité quand le rappel à la loi est public, de lourdes amendes peuvent sanctionner les plus rétifs. Optical Center vient d'en faire l'expérience en se voyant infliger une amende de 50 000 euros.
Suite à une plainte en juillet 2014, la CNIL avait enquêté sur les pratiques au sein de la chaîne de 400 magasins d'optique et un site web servant autant au e-commerce qu'à du back-office interne. Une mise en demeure de se mettre en conformité avec la loi avait suivi cette première inspection, fin 2014. Ce premier niveau de « sanction » est symbolique : il suffit au fautif d'appliquer les instructions reçues. Mais la CNIL a tenu à vérifier plus récemment que ses instructions avaient bien été appliquées. Or ce n'était pas totalement le cas.

Des obligations strictes de sécurité

Les manquements relevaient de la sécurité et de la confidentialité des données clients. Rappelons en effet que la Loi Informatique et Liberté oblige tout responsable de traitement à s'assurer de ces éléments susceptibles d'entraîner des compromissions de données personnelles. Des questions s'étaient posées sur la durée de la conservation des données mais la violation de la Loi n'a pas été jugée constituée sur ce point.
En tout premier lieu, la CNIL avait relevé une absence de chiffrement de la connexion au site, point ensuite corrigé. Mais le principal reproche fait concernait la gestion des mots de passe d'accès au site web par les clients et les collaborateurs du distributeur. En effet, la complexité des mots de passe des clients n'était pas suffisamment contrôlée, point non-corrigé pour les anciens clients. Et les mots de passe des collaborateurs étaient saisis par un administrateur au lieu d'être changé par chacun sans possibilité pour un tiers -même interne- de le connaître. Ce point précis a été corrigé. Enfin, vue la sensibilité des données (médicales), la CNIL avait exigé la mise en place d'une authentification à deux facteurs et un verrouillage automatique des postes de travail en cas d'inactivité prolongée, ce qui n'avait pas été réalisé dans tout le groupe.
Enfin, il a été reproché à Optical Center de ne pas avoir précisé les obligations de sécurité et de confidentialité dans les contrats liant l'entreprise avec un sous-traitant intervenant sur son système d'information.