La CNIL inflige une amende de 50 000 €uros à Optical Center
19 février 2016.
A la suite de plusieurs plaintes reçues, en juillet 2014, la CNIL a diligenté une enquête sur les pratiques de la société Optical Center au sein de son réseau de 400 magasins d’optique ainsi que sur son site web servant autant en e-commerce qu’à du back-office interne.
En décembre 2014, la société Optical Center a été mise en demeure par la Présidente de la CNIL de se mettre en conformité avec la loi « Informatique et Libertés », notamment concernant les traitements de données à caractère personnel de ses clients.
La CNIL reprochait à Optical Center de ne pas avoir suffisamment assuré la sécurité et la confidentialité des données de ses clients. En effet, conformément à la loi « Informatique et Libertés », tout responsable de traitement doit s’assurer des éléments susceptibles d’entrainer des failles de sécurité et de confidentialité des données à caractère personnel.
Au vue de la « sensibilité » des données, la CNIL avait exigé d’Optical Center, la mise en place des mesures suivantes:
- une authentification à deux facteurs et un verrouillage automatique des postes de travail en cas d’inactivité prolongée, ce qui n’avait pas été réalisée dans tout le groupe ;
- la précision des obligations de sécurité et de confidentialité dans les contrats liant les entreprises avec un sous-traitant intervenant sur son système d’information.
Par la suite, la CNIL a condamné Optical Center à 50 000 euros d’amende, ayant constaté la persistance de manquements et notamment :
- le chiffrement pour la connexion au site Internet par le biais :
- d’un contrôle de la complexité des mots de passe des clients;
- de la possibilité pour les collaborateurs de changer leur mot de passe suite à la saisie par un administrateur.
Nos recommandations :
- Recensez avec précaution tous les fichiers et données à caractère personnel (fichier client, contrats, etc.) et les traitements associés (automatisés ou non) en identifiant les supports sur lesquels ils reposent (matériels, logiciels, support papiers, etc.)
- Pour chaque traitement, identifiez et classez selon leur gravité les impacts sur la vie privée des personnes concernées notamment en cas de risques d’atteinte à :
- La confidentialité (usurpations par exemple) ;
- La disponibilité ;
- L’intégrité.
- Mettez en œuvre des mesures de sécurité adaptées à chaque traitement en vue de réduire, éviter ou transférer (recueil du consentement, etc.).
- Et évidemment mettez-vous en conformité avec le reste de vos obligations issues de la loi dite Informatique et Liberté