La CNIL Sanctionne OPTIC CENTER

La CNIL a prononcé une sanction financière à l’encontre de la société OPTICAL CENTER par une décision du 7 mai 2018 (Délibération n°SAN-2018-002).

Estimant que la société OPTICAL CENTER avait manqué à son obligation de sécurité des données personnelles, la CNIL a fixé le montant de la sanction à 250.000 euros.

Cette sanction aurait pu être beaucoup plus lourde, dans la mesure où Optical Center aurait pu se voir infliger une amende pouvant aller jusqu’à 20 millions d’euros.

La formation restreinte de la CNIL, tout en soulignant la réactivité de la société dans la résolution de la faille, a considéré que la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société. Elle a ainsi estimé que la mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle. La formation restreinte a également relevé que la société ne pouvait pas ignorer les risques liés à un défaut de sécurisation de son site dès lors qu’une sanction de 50 000 euros avait déjà été prononcée en raison d’un défaut de sécurité en 2015.

Il est à noter dans cette affaire, qu’outre la sanction financière, la CNIL a décidé de rendre publique sa décision, après avoir relevé la particulière sensibilité des données ayant été rendues librement accessibles, du nombre de clients impactés et du volume de documents contenus dans la base de données de la société à la date de l’incident (plus de 334 000).

Il ne fait pas de doute, qu’à l’avenir, les entreprises qui n’auront pas mis en œuvre le RGPD pourront être concernées à la fois par les sanctions financières et par la publication de leur affaire.

Délibération n°SAN-2018-002 du 7 mai 2018 : Délibération de la formation restreinte n° SAN-2018-002 du 7 mai 2018 prononçant une sanction pécuniaire à l’encontre de la société OPTICAL CENTER