La CNIL inflige 50 000 euros de sanction à l’encontre d’Optical Center

La CNIL inflige 50 000 euros de sanction à l’encontre d’Optical Center

À la louche ?

Avatar de l'auteur
Marc Rees

Publié dans

Droit

17/11/2015
26

La CNIL inflige 50 000 euros de sanction à l’encontre d’Optical Center

Outre la publicité de sa délibération, la CNIL a infligé une prune de 50 000 euros au spécialiste des produits d’optique. Selon l’autorité, la société ne s’est que partiellement mise en conformité avec une première mise en demeure adressée en décembre 2014.

Tout est parti en juillet 2014, avec la plainte d’une personne qui « dénonçait la communication par téléphone de son mot de passe par la société ». Celle-ci craignait alors que ses données confidentielles soient stockées en clair dans la base de données de ce spécialiste. Moins de deux semaines plus tard, la CNIL procède à un contrôle de la société. Début décembre, une mise en demeure lui demande de :

  • Adopter des mesures correctives destinées à définir et mettre en œuvre une durée de conservation des données
  • Informer les personnes concernées
  • Assurer la sécurité et la confidentialité des données collectées par elle et ses prestataires

La CNIL engage un nouveau contrôle en février 2015. Visiblement dans l’incapacité d’obtenir les informations pertinentes, elle convoque la société pour une audition en juin. En août 2015, un rapport égraine toujours des manquements à la loi Informatique et liberté.

Manquement sur le terrain de la sécurisation des données

Si la société ne s’est finalement rien vu reprocher sur le terrain de la durée de conservation des données, la CNIL a dénoncé un manquement à l’obligation d’assurer la sécurité et la confidentialité des données. Dans le détail, la société s’était vue enjoindre en décembre « de mettre en œuvre un chiffrement du canal de communication et une authentification du site distant lors de l’accès au site web ». Or, lors des contrôles de février et juin 2015, la CNIL a constaté « une absence de sécurisation de la page d’accueil permettant à l’utilisateur de se connecter à son compte et de la page lui permettant de modifier son mot de passe ».

Autre reproche, les mots de passe de ses clients et salariés ont été jugés pas assez robustes : « Lors de l’audition du 3 juin 2015, la CNIL a également été informée que la responsable du site web procédait elle-même au changement des mots de passe permettant aux salariés habilités d’accéder au back-office et qu’aucun mécanisme de renouvellement automatique n’avait été prévu pour faire face à son absence prolongée ». Un bug de plus : « la société n’avait pas non plus défini de politique de gestion des mots de passe pour l’accès aux postes informatiques des salariés ». Au fil des critiques, Optical Center avait été mise en demeure de mettre en place un verrouillage automatique des postes en cas d’absence prolongée. Or, « seuls 11 postes faisaient l’objet » d’une telle mesure.

La société a rétorqué notamment qu’il lui était impossible de vérifier la modification des mots de passe client (170 000 comptes utilisateurs sur son site), ceux-ci étant chiffrés. De même, la société a bien dépoussiéré sa politique de gestion des mots de passe, avec notamment des mots de passe d’accès au back-office connus des seuls salariés. Cependant, « le recours à une mesure d’authentification forte pour accéder au back-office du site lui était apparue excessive », d’autant que les mots de passe des salariés sont maintenant complexes, connus d’eux seuls et le HTTPS est utilisé pour la connexion des administrateurs au back-office.

La CNIL n’a pas été pleinement satisfaite de ces réponses : des manquements à la sécurisation du site étaient caractérisés au jour de l’expiration du délai de mise en conformité et ont persisté jusqu’au second contrôle. De plus, « le fait que le protocole HTTPS est dorénavant en place sur l’ensemble du site est sans incidence sur la caractérisation de ce manquement ». Pour les mots de passe client, la CNIL a répondu notamment qu’il suffisait d’imposer à tous les clients le renouvellement de leur mot de passe.

La question du sous-traitant

De même, a été épinglé un manquement quant à la sécurité et la confidentialité des données gérées par un des sous-traitants. En cause, le contrat qui lie les deux sociétés qui « ne comporte aucune indication des obligations incombant au prestataire en matière de protection de la sécurité et de la confidentialité des données des clients de la société. »

Enfin, contrairement à ce qui lui était demandé, Optical Center n’a pas répercuté l’ensemble de ces exigences sur ses magasins. La CNIL a au final décidé de lui infliger 50 000 euros de sanction ainsi qu’une publicité de sa délibération.

Optical Center nous a indiqué qu'elle a mis à jour depuis l'ensemble de ses fichiers. Précisons que la décision est susceptible d'appel.

26

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Manquement sur le terrain de la sécurisation des données

La question du sous-traitant

Commentaires (26)


Le 17/11/2015 à 10h 05

Voir des pratiques pareilles en 2014, ça fait froid dans le dos! <img data-src=" />




&nbsp; 



Àff le louche ?





<img data-src=" />


Le 17/11/2015 à 10h 16

50k€… Ca va leur faire ni chaud ni froid.


la CNIL est débordée et n’a pas les moyens d’exécuter ses attributions. La publicité des quelques amendes que la CNIL réussit à mettre en oeuvre est d’autant plus utile mais pas sûr que ça serve de leçon aux autres.



Le Big data et la publicité ciblée est un marché tellement juteux et la CNIL ressemble tellement à une épuisette.


il n’y a pas mort d’homme non plus. L’amende est en proportion de l’infraction aussi.


Y’en a qui n’ont pas froid aux yeux.


Le 17/11/2015 à 10h 29

Par contre, l’obligation de publicité va les faire nettement plus chier. <img data-src=" />


Le 17/11/2015 à 10h 31



les mots de passe des salariés sont maintenant complexes, connus d’eux seuls





et connus du post-it ou de l’étiquette dymo sur le pc ou l’écran <img data-src=" />


Le 17/11/2015 à 10h 39

On peut demander à la CNIL d’intervenir comme ça ?

Parce que je vois par exemple que mes identifiants Free sont en clair et ça m’ennuie…


Arcy Abonné
Le 17/11/2015 à 10h 42



La société a rétorqué notamment qu’il lui était impossible de vérifier la modification des mots de passe client (170 000 comptes utilisateurs sur son site)

Pourtant, c’est pas si dur de marquer la date de dernière modification (dans la BdD), à coté du mot de passe …


Le 17/11/2015 à 10h 45

Tiens, j’ai besoin de lunettes, je sais chez qui j’irais pas les acheter…



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Cela dit, ailleurs, c’est peut-être pas mieux non plus, mais ça n’a pas encore été rendu public…


Le 17/11/2015 à 10h 55

Mais à quoi sert un compte client chez Optical Center ?

On ne peut pas acheter de lunettes sans compte ?


Le 17/11/2015 à 10h 57







levhieu a écrit :



Mais à quoi sert un compte client chez Optical Center ?

On ne peut pas acheter de lunettes sans compte ?







Les achats sans compte client, c’est l’exception plutôt que la règle.



Le 17/11/2015 à 11h 08

Ce qui m’etonne dans cette histoire,c’est l’absence de black liste (du style Trop moche,trop sobre,petite bite,gros con,fils de B…….) bref tous ce qui touche a la discrimation .



au vu de mon experiance,de grand groupe comme C…….r en possede, n’est pas Geoges le nettoyeur !


inextenza Abonné
Le 17/11/2015 à 11h 21







TBirdTheYuri a écrit :



50k€… Ca va leur faire ni chaud ni froid.





Pourquoi?

C’est une franchise d’opticiens, hein, pas LVMH…



Le 17/11/2015 à 11h 43

J’ai reçu deux pubs identiques de chez eux, pourtant, je ne louche pas, c’est grave docteur ?<img data-src=" />


Le 17/11/2015 à 11h 49

Oh alors avec eux je suis étonné de rien… Lorsque mon frère a emménagé dans son nouvel appart, et après avoir pu obtenir le numéro de la ligne pour la récupérer, ils lui ont redonné les identifiants de l’ancien locataire (qui était donc aussi chez Free visiblement)…



Surprise qu’il a eue quand il a saisi ses identifiants fraîchement reçus pour voir où en était son raccordement, de pouvoir accéder à toutes les factures (détaillées) passées du mec, les coups de fil qu’il a passés, les options qu’il avait…



Je lui ai recommandé de contacter illico Free pour corriger ça. Leur réponse : “oups, oui en effet… on va vous changer ça”&nbsp;<img data-src=" />


Le 17/11/2015 à 13h 18

Pas surpris. J’ai besoin de lunettes, ma femme était content de leur services. J’ai dit OK.

ils se sont empresser de revendre mes données ces fumiers. J’ai eu nombre de pub pour rayban, et autres partenaires….. j’y mettrais plus les pieds !


Le 17/11/2015 à 13h 51







joma74fr a écrit :



il n’y a pas mort d’homme non plus. L’amende est en proportion de l’infraction aussi.





C’est quand même une situation ou les coordonnées personnelles et bancaires des clients sont visibles à la vue de n’importe qui qui trouve le mail, ainsi qu’à tous les salariés de l’entreprise… Et c’est une SAS qui fait 170 millions de CA, pas une PME de 10 péons.









TBirdTheYuri a écrit :



C’est quand même une situation ou les coordonnées personnelles et bancaires des clients sont visibles à la vue de n’importe qui qui trouve le mail, ainsi qu’à tous les salariés de l’entreprise… Et c’est une SAS qui fait 170 millions de CA, pas une PME de 10 péons.





Que tu gagnes le SMIC ou 5000€ par mois, quand tu fais un excès de vitesse, tu paie la même amende.



Le 17/11/2015 à 14h 11







ActionFighter a écrit :



Que tu gagnes le SMIC ou 5000€ par mois, quand tu fais un excès de vitesse, tu paie la même amende.





C’est justement pour cela que deux de mes anciens employeurs se foutaient royalement des limites de vitesse, parce qu’ils pouvaient se payer des stages de points et les PV à la pelle.









TBirdTheYuri a écrit :



C’est justement pour cela que deux de mes anciens employeurs se foutaient royalement des limites de vitesse, parce qu’ils pouvaient se payer des stages de points et les PV à la pelle.





Oui, ça des effets pervers, après, s’il faut faire une vérification de chaque déclaration de revenu avant d’envoyer un PV, ça va devenir compliqué <img data-src=" />



eglyn Abonné
Le 17/11/2015 à 14h 45







ActionFighter a écrit :



Oui, ça des effets pervers, après, s’il faut faire une vérification de chaque déclaration de revenu avant d’envoyer un PV, ça va devenir compliqué <img data-src=" />





Ou alors un PV en pourcentage de revenus <img data-src=" />









eglyn a écrit :



Ou alors un PV en pourcentage de revenus <img data-src=" />





Je sens que beaucoup de malfrats vont devenir non-imposables <img data-src=" />



Le 17/11/2015 à 18h 44

La CNIL devrait mettre son nez dans le secteur de l’énergie… c’est assez basique la règle de création des mot de passe chez le fournisseur pour lequel je bosse…


Patch Abonné
Le 17/11/2015 à 19h 34







TBirdTheYuri a écrit :



C’est justement pour cela que deux de mes anciens employeurs se foutaient royalement des limites de vitesse, parce qu’ils pouvaient se payer des stages de points et les PV à la pelle.



Ou plutôt qu’ils faisaient payer ca par l’entreprise (pour ne pas perdre de point, vu qu’on n’a droit qu’à un stage par an maxi).



SebGF Abonné
Le 18/11/2015 à 06h 40







Neocray a écrit :



Par contre, l’obligation de publicité va les faire nettement plus chier. <img data-src=" />







Suffit de la mettre devant les stands d’essayages de lunettes. <img data-src=" />







TBirdTheYuri a écrit :



C’est quand même une situation ou les coordonnées personnelles et bancaires des clients sont visibles à la vue de n’importe qui qui trouve le mail, ainsi qu’à tous les salariés de l’entreprise… Et c’est une SAS qui fait 170 millions de CA, pas une PME de 10 péons.







On regrette souvent que la CNIL ait un pouvoir très limité, elle peut infliger des amendes allant jusqu’à 300 000€ ou 5% du chiffre d’affaire, mais ce dernier étant toujours dans la limite des 300 000€.

Mais le but n’est pas non plus de torpiller les entreprises et les couler… 50 000 boules sur 170 millions de CA, c’est pas rien non plus. Combiné au déficit d’image pour la publication de la condamnation, ça peut faire mal.



On est très loin quand même des échelles de valeurs d’un Googapplmazonecrosoft qui brasse des milliards quotidiennement. Ou alors pour rester dans du français, des enseignes de retail dont le CA se chiffre en milliards également.