La CNIL prononce une sanction record pour atteinte à la sécurité des données personnelles

Le 7 juin 2018 marque l'établissement d'un nouveau record pour la Commission Nationale Informatique et Libertés (CNIL) : celui de l'amende administrative la plus élevée qu'elle ait jamais prononcée jusqu'à ce jour. 

Sa formation restreinte vient en effet de sanctionner la société française Optical Center à une amende de 250 000 € après un peu moins d'un an d'investigations concernant une "fuite de données conséquentes". 

La sécurité de données personnelles de clients concernée

En juillet 2017, la CNIL avait été informée d'une "fuite de données conséquentes" sur le site Internet de la société. 

Un contrôle en ligne lui avait alors permis de constater qu'en modifiant l'URL du site dans la barre d'adresse d'un navigateur Internet, il était possible d'avoir accès aux comptes d'autres clients de la société et donc à leurs nom, prénom, adresse postale, ainsi qu'à des données de santé, des numéros de sécurité sociale et des factures. 

Lors d'un contrôle sur place, la société impactée avait alors reconnue un défaut de sécurité présent sur son site Internet : le site ne disposait en effet pas de fonctionnalité permettant de vérifier qu'un client était connecté à son espace personnel avant d'afficher les données à caractère personnel. 

Une procédure de sanction à l'encontre de la société Optical Center a alors été engagée. 

 

Une amende record justifiée par le contexte de la décision

Que l'on ne s'y trompe pas : l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai dernier ne semble en rien impacter la décision de la CNIL (au moins à la lecture de sa décision). 

Si cette amende est la plus élevée jamais imposée par la CNIL, c'est parce-que cette dernière la justifie par un certain nombre d'éléments, non pas aggravants, mais circonstanciels. 

L'un des points soulevés par la formation restreinte expliquant le mieux la sévérité de cette décision (au regard des sanctions précédentes) est tout d'abord la récidive de la société qui, en 2015, avait déjà été sanctionnée pour un défaut de sécurité sur le même site Internet. 

Pour la CNIL, la société semblait donc n'avoir retenu aucune leçon de sa précédente sanction. 

Ensuite, et même si comme la société l'indique les URL des espaces personnels des clients n'étaient pas indexés, les agents de la CNIL ont pu constater par eux-même l'accès possible aux données personnelles des clients, sans qu'il soit établi que la société aurait pu s'en apercevoir par celle-même. 

Element important dans la prise de décision de la CNIL, les données rendues accessibles par ce défaut de sécurisation comportaient entre autres des données de santé, considérées comme sensibles au sens du RGPD et de la loi Informatiques et Libertés de 1978, ainsi que des données bancaires et le numéro de sécurité sociale, qui ne sont certes pas considérées comme des données sensibles mais doivent faire l'objet, d'après la CNIL, de mesures de précautions spécifiques. 

Enfin, la CNIL fait référence au contexte actuel de multiplication des incidents de sécurité et de la nécessité de sensibiliser les internautes quant aux risques pesant sur leurs données pour justifier de rendre publique sa décision. 

 

 

En savoir plus : 

legifrance.gouv.fr

Site officiel de la CNIL