Type de juridiction : Conseil d’État
Juridiction : Conseil d’Etat
Thématique : Site non sécurisé : Optical Center sanctionnée
→ RésuméLa CNIL a infligé une amende de 250.000 euros à Optical Center pour des manquements graves à la sécurité des données personnelles. Des vérifications ont révélé qu’il était possible d’accéder librement à des factures contenant des informations sensibles, telles que le nom, l’adresse et le numéro d’inscription des clients, sans authentification préalable. Environ 300.000 factures étaient concernées par cette faille. La sanction a été prononcée sans mise en demeure, conformément à la loi, car les mesures de sécurité élémentaires n’avaient pas été mises en place avant le lancement d’une nouvelle fonctionnalité du site, exposant ainsi les données à des tiers non autorisés.
|
Données personnelles non protégées
En matière de protection des données personnelles, il convient de suivre de près la mise en production d’un site internet par un prestataire et de mettre à sa charge une garantie d’éviction sur le volet sécurité des données. Une sanction pécuniaire de 250.000 euros a été prononcée par la CNIL contre la société Optical Center.
Faille de sécurité en ligne
Suite à une information, la CNIL a effectué des vérifications en ligne sur le site d’Optical Center qui ont permis de constater qu’il était possible d’accéder librement, à partir des URL qui lui avaient été transmises, à plusieurs factures contenant les données à caractère personnel suivantes : nom, prénom, adresse postale, correction ophtalmologique et, pour certaines d’entre elles, la date de naissance des clients ainsi que leur numéro d’inscription au répertoire national d’identification des personnes physiques (NIR). Il était possible, depuis le domaine optical-center.fr et sans authentification préalable à l’espace client, d’exporter au format CSV, un échantillon de 2085 fichiers correspondant aux données personnelles de clients de l’enseigne. Le nombre de documents concernés par cette faille de sécurité a été chiffré à près de 300 000 factures de clients.
Sanction sans mise en demeure
Cette sanction pécuniaire a été prononcée sans mise en demeure. Il résulte de l’article 45 de la loi du 6 janvier 1978 que le prononcé d’une sanction CNIL n’est pas subordonné à l’adoption préalable systématique d’une mise en demeure « lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure, la formation restreinte peut prononcer, sans mise en demeure préalable et après une procédure contradictoire, les sanctions prévue au présent I ». L’objet de la réforme introduite par la loi pour une République numérique était d’élargir la gamme des sanctions directes que peut appliquer la CNIL, en autorisant le prononcé d’une sanction pécuniaire sans mise en demeure préalable, alors qu’auparavant, la formation restreinte ne pouvait en pareil cas prononcer qu’un avertissement. La loi précise expressément que lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure (qui ne peut par construction avoir d’effet que pour l’avenir et non pour le passé), la formation restreinte peut prononcer les sanctions prévues.
Notion de fuite des données
La fuite de données correspond simplement au manquement à l’obligation d’assurer la sécurité et la confidentialité des données. A ce titre, l’article 34 de la loi du 6 janvier 1978 dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » . En l’occurrence, les mesures élémentaires de sécurité n’avaient pas été prises en amont de la mise en production d’une nouvelle fonctionnalité du site internet de la société Optical Center.
Suivre de près la mise en production d’un site
Pour entrer dans les détails techniques, le site internet de la société, qui permet d’effectuer des commandes en ligne après avoir créé un compte dédié, n’intégrait pas de fonctionnalité permettant de vérifier qu’un client s’est bien authentifié à son espace personnel avant de lui donner accès aux dits documents. La formation restreinte a estimé que la société aurait dû mettre en place une restriction d’accès aux documents mis à disposition des clients via leur espace réservé dès lors que ce dernier a précisément pour objet de permettre aux clients d’accéder aux commandes en cours et passées, à leurs avoirs ou encore à leurs factures. La mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle dont la mise en œuvre aurait permis de réduire significativement le risque de survenance d’une telle violation de données.
De manière générale, l’exposition de ressources sans contrôle d’accès préalable, est identifiée depuis de nombreuses années comme faisant partie des failles de sécurité devant faire l’objet d’une surveillance particulière et doit, en conséquence, faire l’objet de vérifications notamment dans le cadre d’audits de sécurité.
Laisser un commentaire