Publicité en cours de chargement...

Publicité en cours de chargement...

C’est la saison des prunes à la Cnil

12 juin 2018 - 12:17,
Tribune - Cédric Cartau
Relayée par différents médias en ligne, on apprend que la Cnil(1) vient d’infliger une amende de 250 000 euros – tout de même – à Optical Center pour manquement à la protection des données de ses clients. En substance, les comptes des clients étaient accessibles sans identifiant ni mot de passe sur le site Internet, avec leurs données administratives et commerciales, les ordonnances médicales des produits pour la correction visuelle, etc. Ce n’est pas la première fois que la Cnil prononce des sanctions de cette nature et de ce montant, mais ce cas particulier appelle plusieurs commentaires.  

Tout d’abord, les montants les plus élevés des amendes qu’avait prononcées la Cnil jusqu’à peu étaient de 150 000 euros. Or, ce plafond a été relevé en 2016, pour atteindre maintenant 3 millions d’euros, juste 20 fois plus. Dans son « malheur », Optical Center a eu tout de même de la chance : les faits incriminés datent de juillet 2017, et si les mêmes faits s’étaient produits après le 25 mai fatidique, le montant maximal aurait été porté à 2 % du CA de l’entreprise. En 2015, l’entreprise a réalisé un CA de 450 millions d’euros, et le montant maximal aurait donc été de 9 millions d’euros. En appliquant une bête règle de trois, cela aurait pu conduire la Cnil à prononcer une amende de 750 000 euros.

Ensuite, on ne peut que faire le lien avec l’affaire récente de Darty, qui pour exactement les mêmes dysfonctionnements, n’a été condamné qu’à 100 000 euros d’amende. Alors pourquoi cette différence ? Apparemment, pour deux raisons : la première est qu’Optical Center s’était déjà vu appliquer une amende pour des faits analogues quelques mois auparavant (50 000 euros) et que la Cnil a dû estimer que la récidive méritait rallonge, mais surtout parce qu’à la différence du site de Darty, qui ne contient que des informations administratives (nom, prénom, adresse des clients) et commerciales (produits, prix, etc.), celui d’Optical Center hébergeait en sus des données de nature médicale (correction) en plus des numéros Insee (qui sont souvent utilisés dans des usurpations d’identité).

Enfin, et c’est la partie du jugement qui a le plus d’impact sur un éventuel caractère « jurisprudentiel », même si l’entreprise, alertée par la Cnil de la faille de sécurité, a réagi très vite pour y remédier, la Cnil a considéré que ce genre de sécurité était tellement basique que la faille était inexcusable. Sur son site, la Cnil mentionne en effet avoir « estimé que la mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle ». Autrement dit, il existe des points de sécurité de la donnée personnelle qui ne relèvent pas de l’obligation de moyens, mais de l’obligation de résultat. Et là, cela change tout.

Nul doute que les fournisseurs d’équipements de protection des applications Web vont se frotter les mains, nul doute qu’il va falloir inclure dans les check-lists des prochains marchés un audit de ces composants préalable à la réception du marché, nul doute qu’il va falloir aussi penser à reporter sur les sous-traitants les conséquences financières de ce type de manquement aux règles élémentaires. Avec 250 000 euros, Optical Center aurait pu se payer un audit d’intrusion de son site Web en platine massif et un rapport tout en dorures.


(1) https://www.cnil.fr/fr/optical-center-sanction-de-250000eu-pour-une-atteinte-la-securite-des-donnees-des-clients-du-site 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Illustration Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital

Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital

24 mars 2025 - 20:32,

Actualité

- DSIH,

Afin de garantir au plus grand nombre d’établissements de santé l’accès aux mises à jour financées par le Ségur numérique, le calendrier des dispositifs dédiés aux logiciels Dossier Patient Informatisé (DPI) et Plateforme d’Interopérabilité (PFI) a été étendu par un arrêté modificatif, publié ce jou...

Illustration Loi sur le narcotrafic et fin du chiffrement : analyse d’un membre éminent et actif du CVC

Loi sur le narcotrafic et fin du chiffrement : analyse d’un membre éminent et actif du CVC

10 mars 2025 - 19:33,

Tribune

-
Cédric Cartau

Vous n’avez pas pu le rater : sous couvert de lutte contre le trafic de stupéfiants, la proposition de loi d’Étienne Blanc et de Jérôme Durain, déjà adoptée à l’unanimité au Sénat, sera débattue au mois de mars à l’Assemblée nationale. Baptisée « loi Narcotrafic », elle vise à obliger les services d...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.