Saisi par Optical Center, le Conseil d’État rabaisse la sanction de la CNIL

Rien que pour vos yeux 51
image dediée
Crédits : AndreyPopov/iStock
Loi
Marc Rees

Le Conseil d’État a revu à la baisse la sanction infligée par la CNIL à l’encontre d’Optical Center. La juridiction administrative reproche à l’autorité de ne pas avoir tenu compte de la célérité avec laquelle l’entreprise avait corrigé la faille à l’origine de cette décision.

Cette faille permettait très simplement de prendre connaissance des factures d’autres clients sur Internet. Comment ? En modifiant la variable de l’URL correspondant à sa facture (« id= »), comme l’expliquaient en août 2017 nos confrères de Zataz. Nom, prénom, coordonnées postales, correction ophtalmologique et parfois le numéro de Sécurité sociale faisaient alors partie des données personnelles éventées.  

La CNIL avait été alertée le 28 juillet 2017. Le 31, elle effectuait des vérifications en ligne et contactait le même jour le cybervendeur. Le colmatage fut effectué le 2 août, soit deux jours plus tard. « Une fonctionnalité a été ajoutée afin de s’assurer qu’un client est effectivement connecté à son espace personnel avant de lui fournir les seuls documents le concernant » détaillait la délibération.

Le 7 mai, la CNIL infligeait finalement une sanction de 250 000 euros à l’encontre d’Optical Center, avec diffusion publique de la délibération. La société a toutefois attaqué la décision devant le Conseil d’État, juridiction compétente pour jauger du parfait respect de la loi Informatique et Libertés.

Une mise en demeure préalable non obligatoire

Lisez la suite : 72 % de ce contenu reste à découvrir

Seuls nos abonnés peuvent lire l'intégralité de cet article.


chargement
Chargement des commentaires...