Données personnelles : la Cnil fait les gros yeux à Optical Center

LégislationRégulationsSécurité
cnil-optical-center

Optical Center rejoint la liste des entreprises condamnées par la Cnil pour avoir laissé des données de clients en libre accès sur Internet.

Web Éditions n’est pas le seul à avoir laissé des données personnelles en accès libre sur Internet.

Pour ce motif, la SAS parisienne éditrice de sites de délivrance de documents administratifs avait écopé, en novembre dernier, d’une sanction pécuniaire prononcée par la Cnil… et rendue publique.

Optical Center a été condamné pour la même raison. L’entreprise spécialisée dans le commerce de détail d’optique s’est vu infliger une amende de 250 000 euros pour avoir « insuffisamment sécurisé » les données de clients ayant effectué des commandes en ligne.

La Cnil s’était saisie du dossier en juillet 2017, après avoir été informée d’une « possible fuite de données à caractère personnel », librement accessibles à partir de plusieurs URL.

Un contrôle avait permis de constater que les données en question était des noms, des prénoms, des dates de naissance, des informations de correction ophtalmologique et des numéros de sécurité sociale. Elles étaient contenues dans des factures et des bons de commande.

La Cnil avait pu, sans authentification préalable à l’espace client, exporter, au format CSV, un échantillon de plus de 2 000 fichiers.

Lors d’un contrôle effectué au mois d’août dans les locaux d’Optical Center, la Cnil avait pu constater que le défaut de sécurisation avait été corrigé. Il lui est apparu que ni Optical Center, ni son prestataire n’en avait eu connaissance avait qu’elle ne les en notifie.

Extrapolation

Optical Center a tenté de faire annuler la procédure, estimant qu’à défaut d’une mise en demeure, la Cnil ne pouvait prononcer de sanction.

Le texte invoqué par ses soins (article 45 de la loi informatique et libertés, modifié par la loi Lemaire « pour une République numérique » du 7 octobre 2016) a été interprété différemment par la commission. Cette dernière en a lu l’ultime alinéa comme permettant la sanction de manquements ne pouvant plus faire valablement l’objet d’une mise en demeure.

Autre élément pointé du doigt par Optical Center : le fait que la Cnil ait extrapolé, à partir des fichiers téléchargés, le nombre de clients et de données concernés.

L’entreprise estimait, à ce titre, ne pas être en mesure de se défendre sur l’ensemble des pièces qui lui étaient opposées. Et être dans l’impossibilité de démontrer le caractère disproportionné de la sanction proposée.

La Cnil affirme qu’une telle démarche était nécessaire, Optical Center n’ayant pas été en mesure de lui fournir d’informations à ce sujet. Et de mentionner une décision rendue l’an dernier par le Conseil d’État dans une affaire de manipulation de cours. Les Sages avaient estimé qu’il était possible, pour l’Autorité des marchés financiers, de procéder à une estimation du montant total de profits en se fondant uniquement sur un échantillon des opérations réalisées.

Les audits en question

La Cnil explique s’être par ailleurs appuyée, pour réaliser ses estimations, sur des éléments qu’Optical Center lui avait communiqués par courrier. En l’occurrence, le fait qu’au moment de l’incident, la base de données contenait 34 786 bons de commande et 299 983 factures, le tout numéroté « par séquence incrémentielle ».

Au-delà de la faille en elle-même, la commission souligne que son exploitation ne requérait « aucune compétence technique particulière ». Il suffisait de modifier, dans l’URL, le paramètre relatif à l’identifiant de la facture. Web Éditions était dans un cas similaire.

Les relations entre Optical Center et son prestataire ont aussi fait tiquer la Cnil. Entre autres de par l’absence de procédure décrivant les tests à mettre en œuvre lors de la mise en production d’une mise à jour du site*. Aucun élément n’atteste par ailleurs qu’un audit du site et/ou de son code source ait déjà été mené.

La décision est susceptible de faire l’objet d’un recours devant le Conseil d’État, dans un délai de deux mois à compter de sa notification.

* La mise en production du code permettant la visualisation des URL concernées datait de décembre 2016.

Crédit photo : Meu nome é Douglas via Visualhunt.com / CC BY-NC

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur