A la suite de plusieurs plaintes reçues, en juillet 2014, la CNIL a diligenté une enquête sur les pratiques de la société Optical Center au sein de son réseau de 400 magasins d’optique ainsi que sur son site web servant autant en e-commerce qu’à du back-office interne.

En décembre 2014, la société Optical Center a été mise en demeure par la Présidente de la CNIL de se mettre en conformité avec la loi « Informatique et Libertés », notamment concernant les traitements de données à caractère personnel de ses clients.

La CNIL reprochait à Optical Center de ne pas avoir suffisamment assuré la sécurité et la confidentialité des données de ses clients. En effet, conformément à la loi « Informatique et Libertés », tout responsable de traitement doit s’assurer des éléments susceptibles d’entrainer des failles de sécurité et de confidentialité des données à caractère personnel.

Au vue de la « sensibilité » des données, la CNIL avait exigé d’Optical Center, la mise en place des mesures suivantes:

  • une authentification à deux facteurs et un verrouillage automatique des postes de travail en cas d’inactivité prolongée, ce qui n’avait pas été réalisée dans tout le groupe ;
  • la précision des obligations de sécurité et de confidentialité dans les contrats liant les entreprises avec un sous-traitant intervenant sur son système d’information.

 

Par la suite, la CNIL a condamné Optical Center à 50 000 euros d’amende, ayant constaté la persistance de manquements et notamment : 

  • le chiffrement pour la connexion au site Internet par le biais :
  • d’un contrôle de la complexité des mots de passe des clients;
  • de la possibilité pour les collaborateurs de changer leur mot de passe suite à la saisie par un administrateur.

 

Nos recommandations :

  • Recensez avec précaution tous les fichiers et données à caractère personnel (fichier client, contrats, etc.) et les traitements associés (automatisés ou non) en identifiant les supports sur lesquels ils reposent (matériels, logiciels, support papiers, etc.)
  • Pour chaque traitement, identifiez et classez selon leur gravité les impacts sur la vie privée des personnes concernées notamment en cas de risques d’atteinte à :
    • La confidentialité (usurpations par exemple) ;
    • La disponibilité ;
    • L’intégrité.
  • Mettez en œuvre des mesures de sécurité adaptées à chaque traitement en vue de réduire, éviter ou transférer (recueil du consentement, etc.).
  • Et évidemment mettez-vous en conformité avec le reste de vos obligations issues de la loi dite Informatique et Liberté
Nous contacter