Mauvaise sécurisation des données personnelles sur Internet : une amende de 250 000€ pour Optical Center

La Commission nationale de l’informatique et des libertés (CNIL) a annoncé aujourd’hui avoir infligé une amende de 250 000 euros à Optical Central, une entreprise spécialisée dans l’optique. La raison ? Une mauvaise gestion des données personnelles sur son site Internet.

En juillet 2017, la CNIL a été informée d’une « fuite de données conséquentes » concernant Optical Center. Elle a alors mené son enquête et a constaté qu’il était possible, en renseignant plusieurs URL dans la barre d’adresse d’un navigateur, d’accéder à des centaines de factures de clients de la société. Ces factures contenaient des données telles que les nom, prénom, adresse postale, ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées.

La CNIL a averti Optical Center du problème, la société s’est alors tournée vers son prestataire pour qu’il prenne les mesures nécessaires. Il se trouve que le site d’Optical Center n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel afin de lui afficher seulement ses factures.

Ce n’est pas la première fois qu’Optical Center est dans le viseur dans la CNIL. En 2015, un défaut de sécurité était présent sur le site de la société, ce qui lui a voulu une amende de 50 000 euros.