Le Conseil d’État a confirmé la sanction de 50 000 euros infligée à Optical Center par la CNIL pour non-respect des normes de sécurité. L’accès au compte client sur le site n’était pas protégé par le protocole HTTPS, malgré une mise en demeure préalable. De plus, la société n’a pas pu se décharger de ses responsabilités en invoquant son prestataire internet, car le contrat ne garantissait pas la protection des données des clients. La CNIL a également relevé des insuffisances dans la sécurité des mots de passe, soulignant l’absence de clauses adéquates dans le contrat avec le sous-traitant.. Consulter la source documentaire.

Quelle sanction a été confirmée par le Conseil d’Etat contre Optical Center ?

La sanction confirmée par le Conseil d’Etat contre la société Optical Center s’élève à 50 000 euros. Cette décision fait suite à une sanction pécuniaire prononcée par la CNIL, qui a constaté que la zone de saisie de l’identifiant et du mot de passe pour accéder au compte client n’était pas sécurisée par le protocole « https ».

Le non-respect de ce protocole de sécurité a été jugé suffisamment grave pour justifier une amende. La CNIL avait précédemment mis en demeure la société de mettre en œuvre des mesures de chiffrement et d’authentification pour protéger les données des clients, tant lors de l’authentification que lors de la collecte des informations pour la création d’un compte client.

Pourquoi Optical Center ne peut-elle pas se prévaloir de son contrat avec son prestataire internet ?

Optical Center ne peut pas se prévaloir de son contrat avec son prestataire internet pour justifier le non-respect des obligations de sécurité. Bien que le contrat stipule que les informations nominatives des clients ne doivent être transmises qu’aux personnes habilitées, le terme « Client » se réfère à la société elle-même et non à ses clients.

Cela signifie que la responsabilité de la protection des données incombe directement à Optical Center, indépendamment des engagements pris par son prestataire. En d’autres termes, la société ne peut pas se décharger de ses obligations légales en matière de sécurité des données sur un tiers, même si un contrat existe.

Quelles insuffisances de sécurité ont été relevées par la CNIL concernant Optical Center ?

La CNIL a relevé plusieurs insuffisances de sécurité concernant les dispositifs utilisés par Optical Center. Tout d’abord, la société avait été mise en demeure d’améliorer la robustesse des mots de passe de ses clients et de ses salariés. Lors d’un contrôle, il a été constaté que les mots de passe des clients déjà inscrits manquaient de complexité.

Cette absence de complexité constitue une faille de sécurité, rendant les comptes clients vulnérables aux attaques. De plus, la CNIL a noté que le contrat entre Optical Center et son sous-traitant ne contenait aucune clause relative à la sécurité et à la confidentialité des données, ce qui est contraire aux exigences de la loi n° 78-17 du 6 janvier 1978.

Quelles sont les obligations imposées par la loi n° 78-17 du 6 janvier 1978 ?

La loi n° 78-17 du 6 janvier 1978 impose plusieurs obligations en matière de protection des données personnelles. Elle stipule que le contrat entre le responsable du traitement et le sous-traitant doit clairement indiquer les obligations de ce dernier en matière de sécurité et de confidentialité des données.

De plus, la loi exige que le sous-traitant n’agisse que sur instruction du responsable du traitement. Cela signifie que toute action entreprise par le sous-traitant doit être validée par le responsable, garantissant ainsi un contrôle sur la gestion des données personnelles. Dans le cas d’Optical Center, le non-respect de ces obligations a contribué à la sanction infligée par la CNIL.