Juridique

Optique Center : amende de 250 000 euros infligée par la CNIL pour faille de sécurité

Optique Center : amende de 250 000 euros infligée par la CNIL pour faille de sécurité
Optical Center est une deuxième fois sanctionné pour un défaut de sécurité de son site web.

Optical Center est un récidiviste du défaut de sécurité de données personnelles médicales. Après 50 000 euros en 2015, la CNIL vient de lui infliger une amende de 250 000 euros. Et les faits date d'avant le 25 mai 2018, sinon la peine aurait pu être de 4 % du chiffre d'affaires mondial.

PublicitéNouvelle sanction publique spectaculaire pour l'opticien Optical Center : la CNIL vient de lui infliger une amende de 250 000 euros. La société est une récidiviste du défaut de sécurité puisqu'elle avait déjà été sanctionnée pour des faits similaires en 2015. En 2014, l'accès au site n'était pas chiffré, les prestataires non-contraints contractuellement en matière de sécurité, les mots de passe non-sécurisés, l'authentification insuffisante et la simple mise en demeure avait été insuffisante, débouchant sur une sanction en 2015. Cette année, c'est l'accès aux factures (avec données de prescriptions médicales incluses) qui étaient pratiquement en libre-accès.

Suite à un signalement, la CNIL a en effet procédé à un contrôle en ligne. Ses inspecteurs ont pu constater qu'en modifiant de manière simple l'URL de consultation d'un dossier client, il était simple de consulter les données d'autres clients, avec des informations d'ordre médical (la correction ophtalmique) ou le très sensible numéro de sécurité sociale. Cette fois, la CNIL indique que Optical Center a immédiatement averti son prestataire. « Tout en soulignant la réactivité de la société dans la résolution de la faille, la formation restreinte [de la CNIL, en charge de l'instruction des sanctions] a considéré que la question de la restriction d'accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l'objet d'une attention particulière de la part de la société » précise l'autorité administrative indépendante. La récidive et la quantité de données accessibles (334 000 documents) ont expliqué la lourdeur de la sanction. Mais, heureusement pour Optical Center, le RGPD n'était pas encore applicable. La prochaine fois, la sanction pourra atteindre 4 % du chiffre d'affaires mondial.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Avez-vous déjà rapatrié une application depuis le cloud public ou bloqué son déploiement en production sur cet environnement pour des questions tarifaires ?