La chaine d'opticiens a mis en ligne des milliers de factures, sans s'assurer de l'identité des internautes les téléchargeant. La société, qui conteste la gravité du dysfonctionnement, n'a pas adouci le courroux de la CNIL. Plus de 330 000 documents auraient été téléchargeables.
Optical Center a laissé n'importe quel internaute télécharger des factures de sa boutique en ligne, avec des données de santé, par nature sensibles. La CNIL vient de prononcer une sanction de 250 000 euros, sur un maximum théorique de trois millions, suite à une enquête débutée en juillet 2017.
Dans sa délibération, la formation restreinte de la commission souligne les tentatives de la société pour limiter l'importance de la fuite, sans convaincre.
Des données sensibles
La commission a été prévenue le 28 juillet 2017. Le 31, elle contrôlait en ligne le site. Verdict : des fichiers sont bien accessibles depuis plusieurs URL à la « structure identique ». Les factures en question contiennent de nombreuses informations personnelles : nom, prénom, coordonnées postales, correction ophtalmologique et, dans certaines, le numéro de Sécurité sociale (le « numéro d’inscription au répertoire national d’identification des personnes physiques »).
Selon les explications de la CNIL, le canal semble être une adresse fournissant les factures, pour peu que le bon identifiant de commande soit entré, sans vérification de l'identité de l'internaute. Il aurait ainsi été possible d'en obtenir en masse, en automatisant les requêtes.
Le site permettait aussi l'export de 2 085 fichiers clients via un fichier CSV, dont 158 avec le numéro de Sécurité sociale. Toujours sans authentification de la requête. Au total, 299 983 factures et 34 786 bons de commande étaient potentiellement accessibles.
Lors d'une visite dans les locaux le 9 août, la société confirme que le site ne contrôle pas l'identité des internautes réclamant ces informations. Le code en cause aurait été mis en production en décembre 2016.
Une sanction à 0,1 % du chiffre d'affaires
Le rapporteur désigné, François Pellegrini, a recommandé en décembre une sanction d'au moins 250 000 euros et une diffusion publique.
Pour sa défense, Optical Center a déclaré que la CNIL ne l'a pas mise en demeure comme elle aurait dû, l'empêchant de régler le problème avant toute sanction. La société estime aussi que l'estimation du nombre de comptes touchés, à partir d'un échantillon, va à l'encontre de ses droits.
La chaine d'opticiens assure n'avoir « tiré aucun avantage du manquement, lequel est en tout état de cause d’une gravité relative et présente un caractère limité ». Aucune preuve de fraude ou d'indexation par les moteurs de recherche n'a été trouvée.
La formation restreinte de la CNIL s'est réunie le 22 février. Dans des courriers de mars, Optical Center promet avoir mis en place un « Programme de protection Bannir les activités anormales sur le site », qui aurait empêché le téléchargement complet de la base de données. Un élément jamais fourni auparavant, note la formation.
Un élément tardif, qui ne convainc donc pas. « La formation restreinte estime que l’existence du dispositif de protection allégué à la date des faits constatés n’est pas établie au vu des éléments transmis » tranche-t-elle. Elle constate aussi qu'aucun audit du site ou du code n'a pu être confirmé.
Enfin, elle répond que l'extrapolation du nombre de documents accessibles, à partir du numéro d'un document, est bien permise, contrairement à ce qu'avançait l'entreprise. Le manquement à l'article 34 de la loi CNIL de 1978 est donc confirmé.
La sanction de 250 000 euros est donc prononcée, mais elle ne devrait pas inquiéter le groupe. En 2016, le site a généré 4,25 millions d'euros de chiffre d'affaires, sur les 193 millions du groupe. La ponction réclamée par la CNIL correspond donc à 6 % du CA du site en 2016, et 0,12 % de celui du groupe.
Avec le Règlement général sur la protection des données (RGPD), appliqué dans l'Union européenne depuis le 25 mai, le montant peut atteindre jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros, selon la gravité du manquement.
Fin 2015, la commission avait déjà sanctionné la chaine à hauteur de 50 000 euros. La société n'avait pas chiffré l'accès aux pages d'identification, se contentant d'une mise en conformité partielle après une mise en demeure en décembre 2014.
