La société Optical Center a été sanctionnée par la CNIL, dans une délibération n°SAN-2018-002 du 7 mai 2018, pour un défaut de sécurisation des données clients.
Suite à un signalement à la CNIL du 28 juillet 2017, concernant une fuite de données à caractère personnel depuis le site internet de la société OPTICAL CENTER, la CNIL a engagé une enquête afin d’effectuer les vérifications nécessaires.
Dès le 31 juillet 2017, les vérifications en ligne ont démontré qu’il était possible d’accéder librement à plusieurs factures contenant les nom, prénom, adresse postale, correction ophtalmologique, date de naissance et numéro de sécurité sociale des personnes physiques clientes de la société.
La mission de contrôle a ensuite permis de révéler que le défaut de sécurisation était dû à l’absence de contrôle de la connexion d’un client avant l’affichage de son contenu : pour accéder aux documents d’autres clients il suffisait de modifier le paramètre ID relatif à l’identifiant de la facture, lequel était parfaitement visible au sein de l’URL affichée dans la barre d’adresse du navigateur lorsqu’un client consulte une facture ou un bon de commande.
Malgré la réactivité immédiate de la société OPTICAL CENTER et la correction du code source du site internet pour empêcher l’accès aux données, la formation restreinte a suivi les recommandations du commissaire-rapporteur, et a prononcé une sanction pécuniaire de 250 000 euros, devant être rendue publique.
La sévérité de la sanction semble notamment s’appuyer sur le fait que la société OPTICAL CENTER invoquait une absence de préjudice pour les personnes concernées par le défaut de sécurité, en indiquant notamment que les URL en cause n’ont pas fait l’objet d’une indexation par les moteurs de recherche.
L’occasion pour la formation restreinte de la CNIL de rappeler que :
« les risques liés à la divulgation de données personnelles ne sauraient être limités à une indexation de ces dernières par les moteurs de recherche ou à l’accès à l’espace client et à la modification de documents. En effet, la divulgation de données se rapportant à l’identité des personnes concernées expose ces dernières à des risques multiples parmi lesquels figure celui de faire l’objet d’un hameçonnage ciblé (phishing). »
La société OPTICAL CENTER a un délai de 2 mois, expirant au 7 juillet 2018, pour exercer un recours contre cette décision devant le Conseil d’Etat : affaire à suivre.