Après une amende de 50 000 euros en 2015 pour ne pas avoir suffisamment sécurisé les mots de passe de ses utilisateurs, Optical Center est accusé cette fois-ci d’un défaut de sécurité pouvant provoquer une fuite de données. 250 000 euros dans la vue.
En juillet 2014, la CNIL reçoit la plainte d’une cliente des magasins Optical Center qui craint un défaut de sécurisation de son mot de passe sur le site de l’opticien. Les manquements sont constatés et la faute avérée en décembre suivant, puis en février 2015, puis en août de la même année. En novembre, Optical Center est condamné à 50 000 euros d’amende.
Trois ans plus tard, presque jour pour jour, un autre client informe la Cnil d’une « fuite de données conséquente » chez Optical Center. Rebelote : le gendarme des données personnelles réalise un contrôle en ligne, constate qu’il parvient à accéder à des « centaines de factures de clients de la société […] contenant des données telles que les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées ».
Un défaut, ça va. C’est quand il y en a plusieurs…
S’en suit un contrôle dans les locaux de l’opticien, qui reconnaît le défaut de sécurité. « En l’espèce, le site "www.optical-center.fr" n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société » écrit la Cnil. La procédure est lancée.
Certes, Optical Center a été réactif, contactant très vite son prestataire pour qu’une solution soit apportée au problème. Mais la société a échoué à prendre une « précaution d’usage essentielle ». D’autant que la Cnil a de la mémoire. « La formation restreinte a également relevé que la société n’était pas sans ignorer les risques liés à un défaut de sécurisation de son site dès lors qu’une sanction de 50 000 euros avait déjà été prononcée en raison d’un défaut de sécurité en 2015 ». Chez le régulateur, pour une amende encaissée, la deuxième est offerte. Le montant de la sanction a quintuplé à 250 000 euros.