Optique Center : amende de 250 000 euros infligée par la CNIL pour faille de sécurité
Optical Center est un récidiviste du défaut de sécurité de données personnelles médicales. Après 50 000 euros en 2015, la CNIL vient de lui infliger une amende de 250 000 euros. Et les faits date d'avant le 25 mai 2018, sinon la peine aurait pu être de 4 % du chiffre d'affaires mondial.
PublicitéNouvelle sanction publique spectaculaire pour l'opticien Optical Center : la CNIL vient de lui infliger une amende de 250 000 euros. La société est une récidiviste du défaut de sécurité puisqu'elle avait déjà été sanctionnée pour des faits similaires en 2015. En 2014, l'accès au site n'était pas chiffré, les prestataires non-contraints contractuellement en matière de sécurité, les mots de passe non-sécurisés, l'authentification insuffisante et la simple mise en demeure avait été insuffisante, débouchant sur une sanction en 2015. Cette année, c'est l'accès aux factures (avec données de prescriptions médicales incluses) qui étaient pratiquement en libre-accès.
Suite à un signalement, la CNIL a en effet procédé à un contrôle en ligne. Ses inspecteurs ont pu constater qu'en modifiant de manière simple l'URL de consultation d'un dossier client, il était simple de consulter les données d'autres clients, avec des informations d'ordre médical (la correction ophtalmique) ou le très sensible numéro de sécurité sociale. Cette fois, la CNIL indique que Optical Center a immédiatement averti son prestataire. « Tout en soulignant la réactivité de la société dans la résolution de la faille, la formation restreinte [de la CNIL, en charge de l'instruction des sanctions] a considéré que la question de la restriction d'accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l'objet d'une attention particulière de la part de la société » précise l'autorité administrative indépendante. La récidive et la quantité de données accessibles (334 000 documents) ont expliqué la lourdeur de la sanction. Mais, heureusement pour Optical Center, le RGPD n'était pas encore applicable. La prochaine fois, la sanction pourra atteindre 4 % du chiffre d'affaires mondial.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire