webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Manquement à l’obligation de sécurité des données : OPTICAL CENTER condamnée à 250 000 € d’amende

CNIL, Délibération n°SAN- 2018-002 du 7 mai 2018

La CNIL a condamné la société OPTICAL CENTER à régler une sanction pécuniaire à hauteur de 250 000 €, après avoir constaté que cette dernière avait manqué à son obligation d’assurer la sécurité et la confidentialité des données de ses clients enregistrées sur son site internet.



Ce qu’il faut retenir : La CNIL a condamné, sur le fondement de la Loi informatique et Libertés dans sa version applicable en juillet 2017, la société OPTICAL CENTER à régler une sanction pécuniaire à hauteur de 250 000 €, après avoir constaté que cette dernière avait manqué à son obligation d’assurer la sécurité et la confidentialité des données de ses clients enregistrées sur son site internet www.optical-center.fr.

En effet, la CNIL a constaté que la société n’avait pas pris les mesures de sécurité élémentaires en amont de la mise en œuvre d’une nouvelle fonctionnalité de son site internet. Elle a ainsi relevé que « le site internet de la société, qui permet d’effectuer des commandes en ligne après avoir créé un compte dédié, n’intégrait pas de fonctionnalité permettant de vérifier qu’un client s’est bien authentifié à son espace personnel avant de lui donner accès auxdits documents. »

Pour approfondir : La CNIL a été informée, en juillet 2017, d’une faille de sécurité concernant la société OPTICAL CENTER. A l’issue d’un contrôle réalisé en ligne, la CNIL a constaté qu’il était possible d’accéder librement, à partir d’adresses URL, à des factures de clients ayant passé commande en ligne. Ces factures contenaient les données à caractère personnel suivantes : nom, prénom, adresse postale, données de santé, date de naissance et, parfois même, le numéro de sécurité sociale.

La société a immédiatement reconnu auprès de la CNIL le défaut de sécurité résidant dans l’absence de contrôle de connexion d’un client à son compte avant l’affichage de son contenu.

A l’issue d’une procédure contradictoire devant la commission restreinte de la CNIL, la société a été condamnée à une sanction pécuniaire de 250 000 €, telle que proposée par le rapporteur.

Pour mémoire, le maximum encouru était alors de 3 millions d’euros.

La CNIL a tenu compte de nombreux éléments pour suivre les conclusions du rapporteur. Elle a, dans un premier temps, constaté que le manquement relevé à l’encontre du responsable de traitement à son obligation de sécurité était d’une particulière gravité. En effet, elle relève que ce sont des mesures élémentaires de sécurité qui n’ont pas été mises en œuvre par le responsable de traitement. Il lui appartenait de mettre en place une fonctionnalité permettant la restriction d’accès des documents mis à la disposition des clients sur leur espace dédié, ce qui constitue une précaution d’usage essentielle.

La CNIL s’est également fondée sur le fait que la base de données de la société contenait plus de 330 000 documents à la date de constatation de la faille de sécurité, et que ce défaut a rendu librement accessible des données à caractère personnel telles que nom, prénom, date de naissance, mais également des données sensibles au sens de l’article 8 de la Loi Informatique et Libertés, à savoir des données de santé et le numéro de sécurité sociale. Il est donc indéniable que la quantité et la nature sensible ou non de données manipulées sont des critères retenus par l’autorité administrative pour fixer le quantum de la sanction. Le risque ainsi créé pour les personnes dont les données étaient librement accessibles de se voir l’objet d’un hameçonnage ciblé (phishing) a également été souligné par la CNIL.

Enfin, le fait que le responsable de traitement ait été condamné deux ans auparavant par la même autorité à une sanction pécuniaire de 50 000 € rend d’autant plus grave, bien que la CNIL s’en défende expressément dans cette décision, le manquement constaté. Cette première amende aurait naturellement dû inciter la société OPTICAL CENTER à la plus grande vigilance en matière de sécurité et confidentialité des données à caractère personnel dans le cadre de la mise en œuvre de ses traitements.

A rapprocher : Art. 34 de la Loi Informatique et Libertés ; Art. 8 de la Loi Informatique et Libertés

VOIR AUSSI

Loi informatique et libertés III : articulation avec le RGPD

Modification de la Loi informatique et Libertés n°78-17 du 6 janvier 1978

- Vu : 2377

La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des données du 27 avril 2016, vient désormais modifier la Loi informatique et Libertés n°78-17 du 6 janvier 1978.

> Lire la suite

Transparence et vigilance en matière de cookies sur les sites internet

CE, 10ème - 9ème ch. réunies, 6 juin 2018, n°412589

- Vu : 188

L’éditeur d’un site internet qui utilise des cookies doit s’assurer d’informer de manière claire et transparente ses internautes des finalités des cookies déposés à l’occasion d’une visite sur son site et de définir et respecter une durée de conservation proportionnée à la finalité de ces cookies.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 2377
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 2273
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 2079
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Protéger ses marques efficacement - 15 mai 2018 - Nantes
16 avril 2018 - Vu : 1336
SIMON ASSOCIÉS organise un petit-déjeuner sur le thème de la protection des marques le 15 mai 2018 à ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©