Saisi par Optical Center, le Conseil d'État rabaisse la sanction de la CNIL

Par , publié le .

Actualité

Le Conseil d’État a revu à la baisse la sanction infligée par la CNIL à l’encontre d’Optical Center. La juridiction administrative reproche à l’autorité de ne pas avoir tenu compte de la célérité avec laquelle l’entreprise avait corrigé la faille à l’origine de cette décision.

Cette faille permettait très simplement de prendre connaissance des factures d’autres clients sur Internet. Comment ? En modifiant la variable de l’URL correspondant à sa facture (« id= »), comme l’expliquaient en août 2017 nos confrères de Zataz. Nom, prénom, coordonnées postales, correction ophtalmologique et parfois le numéro de Sécurité sociale faisaient alors partie des données personnelles éventées.  

La CNIL avait été alertée le 28 juillet 2017. Le 31, elle effectuait des vérifications en ligne et contactait le même jour le cybervendeur. Le colmatage fut effectué le 2 août, soit deux jours plus tard. « Une fonctionnalité a été ajoutée afin de s’assurer qu’un client est effectivement connecté à son espace personnel avant de lui fournir les seuls documents le concernant » détaillait la délibération.

Le 7 mai, la CNIL infligeait finalement une sanction de 250 000 euros à l’encontre d’Optical Center, avec diffusion publique de la délibération. La société a toutefois attaqué la décision devant le Conseil d’État, juridiction compétente pour jauger du parfait respect de la loi Informatique et Libertés.

O commentaire

Laisser un commentaire