La chaine d'opticiens a mis en ligne des milliers de factures, sans s'assurer de l'identité des internautes les téléchargeant. La société, qui conteste la gravité du dysfonctionnement, n'a pas adouci le courroux de la CNIL. Plus de 330 000 documents auraient été téléchargeables.
Optical Center a laissé n'importe quel internaute télécharger des factures de sa boutique en ligne, avec des données de santé, par nature sensibles. La CNIL vient de prononcer une sanction de 250 000 euros, sur un maximum théorique de trois millions, suite à une enquête débutée en juillet 2017.
Dans sa délibération, la formation restreinte de la commission souligne les tentatives de la société pour limiter l'importance de la fuite, sans convaincre.
Des données sensibles
La commission a été prévenue le 28 juillet 2017. Le 31, elle contrôlait en ligne le site. Verdict : des fichiers sont bien accessibles depuis plusieurs URL à la « structure identique ». Les factures en question contiennent de nombreuses informations personnelles : nom, prénom, coordonnées postales, correction ophtalmologique et, dans certaines, le numéro de Sécurité sociale (le « numéro d’inscription au répertoire national d’identification des personnes physiques »).
Selon les explications de la CNIL, le canal semble être une adresse fournissant les factures, pour peu que le bon identifiant de commande soit entré, sans vérification de l'identité de l'internaute. Il aurait ainsi été possible d'en obtenir en masse, en automatisant les requêtes.
Le site permettait aussi l'export de 2 085 fichiers clients via un fichier CSV, dont 158 avec le numéro de Sécurité sociale. Toujours sans authentification de la requête. Au total, 299 983 factures et 34 786 bons de commande étaient potentiellement accessibles.
Lors d'une visite dans les locaux le 9 août, la société confirme que le site ne contrôle pas l'identité des internautes réclamant ces informations. Le code en cause aurait été mis en production en décembre 2016.
Une sanction à 0,1 % du chiffre d'affaires
Le rapporteur désigné, François Pellegrini, a recommandé en décembre une sanction d'au moins 250 000 euros et une diffusion publique.
Pour sa défense, Optical Center a déclaré que la CNIL ne l'a pas mise en demeure comme elle aurait dû, l'empêchant de régler le problème avant toute sanction. La société estime aussi que l'estimation du nombre de comptes touchés, à partir d'un échantillon, va à l'encontre de ses droits.
La chaine d'opticiens assure n'avoir « tiré aucun avantage du manquement, lequel est en tout état de cause d’une gravité relative et présente un caractère limité ». Aucune preuve de fraude ou d'indexation par les moteurs de recherche n'a été trouvée.
La formation restreinte de la CNIL s'est réunie le 22 février. Dans des courriers de mars, Optical Center promet avoir mis en place un « Programme de protection Bannir les activités anormales sur le site », qui aurait empêché le téléchargement complet de la base de données. Un élément jamais fourni auparavant, note la formation.
Un élément tardif, qui ne convainc donc pas. « La formation restreinte estime que l’existence du dispositif de protection allégué à la date des faits constatés n’est pas établie au vu des éléments transmis » tranche-t-elle. Elle constate aussi qu'aucun audit du site ou du code n'a pu être confirmé.
Enfin, elle répond que l'extrapolation du nombre de documents accessibles, à partir du numéro d'un document, est bien permise, contrairement à ce qu'avançait l'entreprise. Le manquement à l'article 34 de la loi CNIL de 1978 est donc confirmé.
La sanction de 250 000 euros est donc prononcée, mais elle ne devrait pas inquiéter le groupe. En 2016, le site a généré 4,25 millions d'euros de chiffre d'affaires, sur les 193 millions du groupe. La ponction réclamée par la CNIL correspond donc à 6 % du CA du site en 2016, et 0,12 % de celui du groupe.
Avec le Règlement général sur la protection des données (RGPD), appliqué dans l'Union européenne depuis le 25 mai, le montant peut atteindre jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros, selon la gravité du manquement.
Fin 2015, la commission avait déjà sanctionné la chaine à hauteur de 50 000 euros. La société n'avait pas chiffré l'accès aux pages d'identification, se contentant d'une mise en conformité partielle après une mise en demeure en décembre 2014.
Commentaires (29)
Attention dans l’avant-dernier paragraphe. Ce n’est pas 6% des revenus, mais 6% du chiffre d’affaire.
Défense à la con; la sanction n’est pas ici une somme multipliée par le nombre de comptes touchés extrapolé, mais le manquement à UNE obligation (celle de sécurité) qui conduit à une sanction 250 000 €.
Et la mise en œuvre des mesures qui permettent de limiter les “actions anormales” est largement insuffisante: il doit y avoir une identification préalable avant d’accéder à de telles informations.
La chaine d’opticiens assure n’avoir « tiré aucun avantage du manquement, lequel est en tout état de cause d’une gravité relative et présente un caractère limité ». Aucune preuve de fraude ou d’indexation par les moteurs de recherche n’a été trouvée.
C’est cela, oui…
À mon boulot, déjà, ça donne des aigreurs aux juges que l’on doive imprimer nos jugements sur la photocopieuse/imprimante commune de l’étage dans le couloir, accessible en réseau (et donc, piratable) plutôt que sur une imprimante USB dans notre bureau. Et je ne parle pas de l’absence de conteneur truecrypt pour stocker sur mon oardi du boulot les fichiers avec les adresses des requérants, et l’état de leurs ressources…
Alors là, laisser des données pareilles se balader dans la nature… On croit rêver.
La chaine d’opticiens assure n’avoir « tiré aucun avantage du manquement, lequel est en tout état de cause d’une gravité relative et présente un caractère limité ».
Mais c’est clair, ils auraient pu marchander ces données, et ils ne l’ont pas fait ! La CNIL déconne grave avec cette sanction !!!
HS, mais dans le même genre “je récupère les doc des autres simplement en modifiant l’url” :https://korben.info/attention-a-ne-pas-uploader-de-trucs-sensibles-sur-prnt-sc-l…
" />
ça m’a fait me pencher sur les différents services qui m’envoient des factures par email, celles qui n’imposent pas la connexion à un compte client (ex . ovh) utilisent un système d’id et pwd inclus dans l’url.
c’était pas franchement dur a mettre en place pour optical centenr
Pour sa défense, Optical Center a déclaré que la CNIL ne l’a pas mise en demeure comme elle aurait dû, l’empêchant de régler le problème avant toute sanction.
Point intéressant je trouve. Qu’en est-il ? la Cnil doit avertir ou peut sanctionner direct ?
Et depuis quand une entreprise doit attendre la cnil pour corriger ses conneries ?
On ne sait pas s’ils en ont tiré un quelconque avantage mais leur défense déplorable montre que la seule leçon qu’ils tireront c’est que ça peut coûter un peu de ne pas se soucier des données de leurs clients.
Je ne fréquentais pas cette enseigne avant (les magasins en promo à -75% permanente affichent en vitrine leurs pratiques douteuses), je ne la fréquenterai pas après.
Sont marrant à insinuer qu’ils ont tiré aucun bénéfice de leur connerie. Le développement d’un site ça a un coût, lancer un truc non sécurisé à la va vite revient bien évidemment moins cher…
ah mince j’avais raté cette affaire, j’étais client chez eux il y a quelques temps
" />
Décidément c’est des bons clients pour la CNIL, Optical Center…
Tout à fait… Je ne citerai personne, mais pour alimenter la rumeur, je me suis laissé dire que certains auraient même été tentés de balancer des « PoC » en prod…
Tous les ans je reçois un courrier postal de cette enseigne que je n’ai jamais fréquentée. Le traitement de bases de prospects a l’air relativement “open bar” dans cette chaîne d’opticiens. Je suspecte (peut-être à tort) une coresponsabilité de Mediapost (l’agrégateur-prospecteur du groupe La Poste), à moins que ce soit l’une des mutuelles santé que j’ai pu fréquenter dans ma vie…
Le nombre de fois où j’ai vu des PoC être mis en prod… Parce que bon, tout refaire de 0 c’est chiant.
" />
Parfois j’ai vraiment envie de frapper les gens, mais il parait que c’est pas très “corporate”
“nombreuses informations personnelles : nom, prénom, coordonnées
postales, correction ophtalmologique et, dans certaines, le numéro de
Sécurité sociale ”
“Le site permettait aussi l’export de 2 085 fichiers clients via un
fichier CSV, dont 158 avec le numéro de Sécurité sociale. Toujours sans
authentification de la requête. Au total, 299 983 factures et 34 786
bons de commande étaient potentiellement accessibles.”
“manquement, lequel est en tout état de cause d’une gravité relative et présente un caractère limité”
C’est l’honnêteté qui parait ici limitée.
C’est vraiment un foutage de gueule qui mériterait une bien plus grosse sanction.
Une question très conne, aujourd’hui, la faille est enfin corrigée ?
Sinon, quand le sera-t-elle ?
Idéal pour RGPD ça …
C’est sur que la mise à disposition de données postales, médicales et surtout du numéro de sécurité sociale, *LA* donnée la plus sensible, ça ne représente qu’une fuite “d’une gravité relative et présente un caractère limité”. Quelle bande de gros c**s..
Faille n’est sans doute pas le terme approprié dans ce cas.
Ca me rappelle l’époque de caramail ça
" />
Wooooptical 250 000 !!!
(à chanter avec la voix de Johnny)
Je ne pense pas que Optic 2000 serait satisfaite d’être assimilée à son rival Optical Center. Tu vas avoir des gros problèmes, toi. 
" />
Justement, j’allais poser la question : Cela correspond à quel pourcentage des revenus ?
Juste pour dire, quand AT&T a fait la même chose en 2011, c’est le gars qui fait joujoue avec l’URL (weev) qui s’est retrouvé en prison… donc on peut dire qu’il y a un certain progrès…