Outre la publicité de sa délibération, la CNIL a infligé une prune de 50 000 euros au spécialiste des produits d’optique. Selon l’autorité, la société ne s’est que partiellement mise en conformité avec une première mise en demeure adressée en décembre 2014.
Tout est parti en juillet 2014, avec la plainte d’une personne qui « dénonçait la communication par téléphone de son mot de passe par la société ». Celle-ci craignait alors que ses données confidentielles soient stockées en clair dans la base de données de ce spécialiste. Moins de deux semaines plus tard, la CNIL procède à un contrôle de la société. Début décembre, une mise en demeure lui demande de :
- Adopter des mesures correctives destinées à définir et mettre en œuvre une durée de conservation des données
- Informer les personnes concernées
- Assurer la sécurité et la confidentialité des données collectées par elle et ses prestataires
La CNIL engage un nouveau contrôle en février 2015. Visiblement dans l’incapacité d’obtenir les informations pertinentes, elle convoque la société pour une audition en juin. En août 2015, un rapport égraine toujours des manquements à la loi Informatique et liberté.
Manquement sur le terrain de la sécurisation des données
Si la société ne s’est finalement rien vu reprocher sur le terrain de la durée de conservation des données, la CNIL a dénoncé un manquement à l’obligation d’assurer la sécurité et la confidentialité des données. Dans le détail, la société s’était vue enjoindre en décembre « de mettre en œuvre un chiffrement du canal de communication et une authentification du site distant lors de l’accès au site web ». Or, lors des contrôles de février et juin 2015, la CNIL a constaté « une absence de sécurisation de la page d’accueil permettant à l’utilisateur de se connecter à son compte et de la page lui permettant de modifier son mot de passe ».
Autre reproche, les mots de passe de ses clients et salariés ont été jugés pas assez robustes : « Lors de l’audition du 3 juin 2015, la CNIL a également été informée que la responsable du site web procédait elle-même au changement des mots de passe permettant aux salariés habilités d’accéder au back-office et qu’aucun mécanisme de renouvellement automatique n’avait été prévu pour faire face à son absence prolongée ». Un bug de plus : « la société n’avait pas non plus défini de politique de gestion des mots de passe pour l’accès aux postes informatiques des salariés ». Au fil des critiques, Optical Center avait été mise en demeure de mettre en place un verrouillage automatique des postes en cas d’absence prolongée. Or, « seuls 11 postes faisaient l’objet » d’une telle mesure.
La société a rétorqué notamment qu’il lui était impossible de vérifier la modification des mots de passe client (170 000 comptes utilisateurs sur son site), ceux-ci étant chiffrés. De même, la société a bien dépoussiéré sa politique de gestion des mots de passe, avec notamment des mots de passe d’accès au back-office connus des seuls salariés. Cependant, « le recours à une mesure d’authentification forte pour accéder au back-office du site lui était apparue excessive », d’autant que les mots de passe des salariés sont maintenant complexes, connus d’eux seuls et le HTTPS est utilisé pour la connexion des administrateurs au back-office.
La CNIL n’a pas été pleinement satisfaite de ces réponses : des manquements à la sécurisation du site étaient caractérisés au jour de l’expiration du délai de mise en conformité et ont persisté jusqu’au second contrôle. De plus, « le fait que le protocole HTTPS est dorénavant en place sur l’ensemble du site est sans incidence sur la caractérisation de ce manquement ». Pour les mots de passe client, la CNIL a répondu notamment qu’il suffisait d’imposer à tous les clients le renouvellement de leur mot de passe.
La question du sous-traitant
De même, a été épinglé un manquement quant à la sécurité et la confidentialité des données gérées par un des sous-traitants. En cause, le contrat qui lie les deux sociétés qui « ne comporte aucune indication des obligations incombant au prestataire en matière de protection de la sécurité et de la confidentialité des données des clients de la société. »
Enfin, contrairement à ce qui lui était demandé, Optical Center n’a pas répercuté l’ensemble de ces exigences sur ses magasins. La CNIL a au final décidé de lui infliger 50 000 euros de sanction ainsi qu’une publicité de sa délibération.
Optical Center nous a indiqué qu'elle a mis à jour depuis l'ensemble de ses fichiers. Précisons que la décision est susceptible d'appel.
