En juillet 2017, la CNIL a été informée d’une « fuite de données conséquentes » concernant la société Optical Center.

La CNIL a effectué un  contrôle en ligne et a constaté qu’en renseignant plusieurs URL dans la barre d’adresse d’un navigateur il était possible d’accéder à des centaines de factures de clients. Ces factures contenaient des données à caractère personnel telles que les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique), parfois le numéro de sécurité sociale des personnes concernées.

Optical Center s’est rapprochée de son prestataire pour qu’il prenne les mesures nécessaires afin de mettre fin à cet incident de sécurité.

Dans sa délibération, la formation restreinte de la CNIL a reconnu la réactivité d’Optical Center dans la résolution de la faille mais a considéré que la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société.

Elle a également relevé qu’Optical Center ne pouvait pas ignorer les risques liés à un défaut de sécurisation de son site dès lors qu’une sanction de 50 000 euros avait déjà été prononcée en raison d’un défaut de sécurité en 2015 et a donc prononcé une sanction de 250 000 euros.

Optical Center a présenté un recours devant le Conseil d’Etat.

Une sanction sans mise en demeure préalable. Optical Center contestait la procédure d’absence de mise en demeure préalable. Sur ce point le Conseil d’Etat a jugé que « la formation restreinte de la CNIL peut, sans mise en demeure préalable, sanctionner un responsable de traitement dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d’être régularisés soit qu’ils soient insusceptibles de l’être soit qu’il y ait déjà été remédié ».

L’obligation de sécurité. Le Conseil d’Etat retient que la société n’a pas anticipé le défaut de sécurité « en amont de la mise en production de son site internet en décembre 2016 ou en établissant un programme d’audits de sécurité ultérieurs ». Aussi, avec l’application du Règlement européen sur les données personnelles et le principe de Privacy by design, en amont avant la mise en place d’une application, une politique de sécurité doit être mise en place comme la gestion des accès sécurisés et des habilitations pour assurer la sécurité et la confidentialité des données.

La sanction. Enfin le Conseil d’Etat a jugé qu’ «en retenant une sanction pécuniaire d’un montant de 250 000 euros sans prendre en compte la célérité avec laquelle la société Optical Center a apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée ».

Il convient donc de retenir que le comportement positif du responsable de traitement suite aux manquements constatés peut être de nature à atténuer le montant de la sanction pécuniaire, en l’espèce le Conseil d’Etat a diminué le montant en condamnant Optical Center  à 200 000 euros.

Nathalie Bastid – Avocate associée

Pour plus d’informations, vous pouvez la contacter bastidnathalie@gmail.com – 06.09.68.51.54