Type de juridiction : Conseil d’Etat
Juridiction : Conseil d’Etat
Thématique : Optical Center : sanction CNIL confirmée
→ RésuméLe Conseil d’État a confirmé la sanction de 50 000 euros infligée à Optical Center par la CNIL pour non-respect des normes de sécurité. L’accès au compte client sur le site n’était pas protégé par le protocole HTTPS, malgré une mise en demeure préalable. De plus, la société n’a pas pu se décharger de ses responsabilités en invoquant son prestataire internet, car le contrat ne garantissait pas la protection des données des clients. La CNIL a également relevé des insuffisances dans la sécurité des mots de passe, soulignant l’absence de clauses adéquates dans le contrat avec le sous-traitant.
|
50 000 euros de sanction pour défaut de https
Le Conseil d’Etat a confirmé la sanction pécuniaire de 50 000 euros prononcée par la CNIL contre la société Optical Center. En l’espèce, la zone de saisie de l’identifiant et du mot de passe pour accéder au compte client depuis la page d’accueil du site web de la société, n’était pas accessible depuis une page web sécurisée par le protocole » https « . Préalablement, la société avait été mise en demeure de mettre en oeuvre ce chiffrement et une authentification lors de l’accès à son site, que ce soit au stade de l’authentification des clients ou au stade du renseignement et de la validation du formulaire de collecte des données aux fins de création d’un compte client.
Prestataire hors de cause
La société Optical Center n’a pu se prévaloir du contrat de service la liant à son prestataire internet pour soutenir que ce dernier remplissait les obligations qui lui incombaient en matière de protection de la sécurité et de la confidentialité des données de ses clients. En effet, si le contrat stipulait expressément que « les informations nominatives relatives au Client et contenues dans les fichiers ne seront transmises qu’aux personnes physiques ou morales expressément habilitées à les connaître », le terme » Client » renvoyait à la société Optical Center et non aux clients de celle-ci.
Sécurité insuffisante
La CNIL était également en droit de sanctionner les insuffisances du dispositif de sécurité sur les postes informatiques des salariés de la société Optical Center. La société avait été mise en demeure d’améliorer la robustesse des mots de passe de ses clients et salariés. Or, lors du contrôle CNIL, il a été constaté une absence de complexité suffisante des mots de passe des clients ayant déjà créé un compte. Enfin, l’article 35 de la loi n° 78-17 du 6 janvier 1978 impose que le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement. Là aussi, il a été constaté que le contrat conclu entre la société et son sous-traitant ne comportait aucune clause relative à la sécurité et à la confidentialité des données.
Laisser un commentaire