Alors que la mise en application du Règlement Général sur la Protection des données (RGPD) se réalisait, la CNIL a prononcé une sanction rendue publique.
En effet, la Cnil vient de prononcer une sanction de 250 000 euros à l’encontre d’Optical Center pour avoir « insuffisamment sécurisé les données de ses clients effectuant une commande en ligne à partir de son site internet ».
En juillet 2017, la CNIL a été informée d’une « fuite de données conséquentes » concernant la société Optical Center.
La CNIL a alors procédé à un contrôle en ligne qui a permis de constater qu’il était possible, en renseignant plusieurs URL dans la barre d’adresse d’un navigateur, d’accéder à des centaines de factures de clients de la société.
Ces factures contenaient des données telles que les noms, prénoms, adresses postales ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées.
Une nouvelle réglementation en matière de protection des données : pourquoi faire ?
- Une protection accrue pour les données liées à la santé…
Alertée le même jour par la CNIL, la société s’est rapprochée de son prestataire pour qu’il prenne les mesures nécessaires afin de mettre fin à cet incident de sécurité.
En effet, le traitement et l’hébergement des données de santé sont soumis à des règles de sécurité contraignantes, raison pour laquelle seulement certains hébergeurs agréés par le Ministère de la santé sont autorisés à héberger les données de santé.
Plus récemment, le considérant n°35 du RGPD est venu apporter une définition européenne commune de la donnée de santé renforçant encore davantage la protection qui leur est accordée.
Désormais la donnée de santé s’entend de « l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée.
Cela comprend […] un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ; des informations obtenues lors du test ou de l’examen d’une partie du corps, etc. ».
- … et des sanctions
Le montant de la sanction a été fixé à 250 000 euros.
Si la formation restreinte de la Cnil, qui a décidé de ce montant, souligne « la réactivité de la société dans la résolution de la faille », elle a retenu son manquement à « l’obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés ».
Elle estime que « la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société.
Le site www.optical-center.fr n’intégrait pas de fonctionnalité permettant de vérifier qu’un client était bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures.
Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société.
Elle a ainsi estimé que la mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle ».
Elle explique également cette sanction en rappelant qu’Optical Center « n’était pas sans ignorer les risques liés à un défaut de sécurisation de son site dès lors qu’une sanction de 50 000 euros avait déjà été prononcée en raison d’un défaut de sécurité en 2015 ».
Compte tenu notamment de la particulière sensibilité des données ayant été rendues librement accessibles (données de santé), du nombre de clients impactés et du volume de documents contenus dans la base de données de la société à la date de l’incident (plus de 334 000), la formation restreinte a décidé de rendre publique sa décision.