Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

La CNIL inflige 50 000 euros de sanction à l’encontre d’Optical Center

À la louche ?
Droit 4 min
La CNIL inflige 50 000 euros de sanction à l’encontre d’Optical Center
Crédits : Xavier Berne

Outre la publicité de sa délibération, la CNIL a infligé une prune de 50 000 euros au spécialiste des produits d’optique. Selon l’autorité, la société ne s’est que partiellement mise en conformité avec une première mise en demeure adressée en décembre 2014.

Tout est parti en juillet 2014, avec la plainte d’une personne qui « dénonçait la communication par téléphone de son mot de passe par la société ». Celle-ci craignait alors que ses données confidentielles soient stockées en clair dans la base de données de ce spécialiste. Moins de deux semaines plus tard, la CNIL procède à un contrôle de la société. Début décembre, une mise en demeure lui demande de :

  • Adopter des mesures correctives destinées à définir et mettre en œuvre une durée de conservation des données
  • Informer les personnes concernées
  • Assurer la sécurité et la confidentialité des données collectées par elle et ses prestataires

La CNIL engage un nouveau contrôle en février 2015. Visiblement dans l’incapacité d’obtenir les informations pertinentes, elle convoque la société pour une audition en juin. En août 2015, un rapport égraine toujours des manquements à la loi Informatique et liberté.

Manquement sur le terrain de la sécurisation des données

Si la société ne s’est finalement rien vu reprocher sur le terrain de la durée de conservation des données, la CNIL a dénoncé un manquement à l’obligation d’assurer la sécurité et la confidentialité des données. Dans le détail, la société s’était vue enjoindre en décembre « de mettre en œuvre un chiffrement du canal de communication et une authentification du site distant lors de l’accès au site web ». Or, lors des contrôles de février et juin 2015, la CNIL a constaté « une absence de sécurisation de la page d’accueil permettant à l’utilisateur de se connecter à son compte et de la page lui permettant de modifier son mot de passe ».

Autre reproche, les mots de passe de ses clients et salariés ont été jugés pas assez robustes : « Lors de l’audition du 3 juin 2015, la CNIL a également été informée que la responsable du site web procédait elle-même au changement des mots de passe permettant aux salariés habilités d’accéder au back-office et qu’aucun mécanisme de renouvellement automatique n’avait été prévu pour faire face à son absence prolongée ». Un bug de plus : « la société n’avait pas non plus défini de politique de gestion des mots de passe pour l’accès aux postes informatiques des salariés ». Au fil des critiques, Optical Center avait été mise en demeure de mettre en place un verrouillage automatique des postes en cas d’absence prolongée. Or, « seuls 11 postes faisaient l’objet » d’une telle mesure.

La société a rétorqué notamment qu’il lui était impossible de vérifier la modification des mots de passe client (170 000 comptes utilisateurs sur son site), ceux-ci étant chiffrés. De même, la société a bien dépoussiéré sa politique de gestion des mots de passe, avec notamment des mots de passe d’accès au back-office connus des seuls salariés. Cependant, « le recours à une mesure d’authentification forte pour accéder au back-office du site lui était apparue excessive », d’autant que les mots de passe des salariés sont maintenant complexes, connus d’eux seuls et le HTTPS est utilisé pour la connexion des administrateurs au back-office.

La CNIL n’a pas été pleinement satisfaite de ces réponses : des manquements à la sécurisation du site étaient caractérisés au jour de l’expiration du délai de mise en conformité et ont persisté jusqu’au second contrôle. De plus, « le fait que le protocole HTTPS est dorénavant en place sur l’ensemble du site est sans incidence sur la caractérisation de ce manquement ». Pour les mots de passe client, la CNIL a répondu notamment qu’il suffisait d’imposer à tous les clients le renouvellement de leur mot de passe.

La question du sous-traitant

De même, a été épinglé un manquement quant à la sécurité et la confidentialité des données gérées par un des sous-traitants. En cause, le contrat qui lie les deux sociétés qui « ne comporte aucune indication des obligations incombant au prestataire en matière de protection de la sécurité et de la confidentialité des données des clients de la société. »

Enfin, contrairement à ce qui lui était demandé, Optical Center n’a pas répercuté l’ensemble de ces exigences sur ses magasins. La CNIL a au final décidé de lui infliger 50 000 euros de sanction ainsi qu’une publicité de sa délibération.

Optical Center nous a indiqué qu'elle a mis à jour depuis l'ensemble de ses fichiers. Précisons que la décision est susceptible d'appel.

26 commentaires
Avatar de Charly32 Abonné
Avatar de Charly32Charly32- 17/11/15 à 10:05:46

Voir des pratiques pareilles en 2014, ça fait froid dans le dos! :stress:

 

Àff le louche ?

:cap:

Édité par Charly32 le 17/11/2015 à 10:06
Avatar de L3 G33K INpactien
Avatar de L3 G33KL3 G33K- 17/11/15 à 10:16:19

50k€... Ca va leur faire ni chaud ni froid.

Avatar de anonyme_d5bf0b9f87fd15affa58563db3b0ac5d INpactien

la CNIL est débordée et n'a pas les moyens d'exécuter ses attributions. La publicité des quelques amendes que la CNIL réussit à mettre en oeuvre est d'autant plus utile mais pas sûr que ça serve de leçon aux autres.

Le Big data et la publicité ciblée est un marché tellement juteux et la CNIL ressemble tellement à une épuisette.

Avatar de anonyme_d5bf0b9f87fd15affa58563db3b0ac5d INpactien

il n'y a pas mort d'homme non plus. L'amende est en proportion de l'infraction aussi.

Avatar de anonyme_a6c552c5fb4282d70e634ed16d39416a INpactien

Y'en a qui n'ont pas froid aux yeux.

Avatar de Neocray INpactien
Avatar de NeocrayNeocray- 17/11/15 à 10:29:40

Par contre, l'obligation de publicité va les faire nettement plus chier. :D

Avatar de zébulon Abonné
Avatar de zébulonzébulon- 17/11/15 à 10:31:07

les mots de passe des salariés sont maintenant complexes, connus d’eux seuls

et connus du post-it ou de l'étiquette dymo sur le pc ou l'écran :transpi:

Édité par zébulon le 17/11/2015 à 10:31
Avatar de Zebnastien INpactien
Avatar de ZebnastienZebnastien- 17/11/15 à 10:39:45

On peut demander à la CNIL d'intervenir comme ça ?
Parce que je vois par exemple que mes identifiants Free sont en clair et ça m'ennuie...

Avatar de Arcy Abonné
Avatar de ArcyArcy- 17/11/15 à 10:42:43

La société a rétorqué notamment qu’il lui était impossible de vérifier la modification des mots de passe client (170 000 comptes utilisateurs sur son site)
Pourtant, c'est pas si dur de marquer la date de dernière modification (dans la BdD), à coté du mot de passe ...

Avatar de Commentaire_supprime Abonné
Avatar de Commentaire_supprimeCommentaire_supprime- 17/11/15 à 10:45:00

Tiens, j'ai besoin de lunettes, je sais chez qui j'irais pas les acheter...

:D:D:D:D:D

Cela dit, ailleurs, c'est peut-être pas mieux non plus, mais ça n'a pas encore été rendu public...

Il n'est plus possible de commenter cette actualité.
Page 1 / 3