Publicité en cours de chargement...
C’est la saison des prunes à la Cnil
Tout d’abord, les montants les plus élevés des amendes qu’avait prononcées la Cnil jusqu’à peu étaient de 150 000 euros. Or, ce plafond a été relevé en 2016, pour atteindre maintenant 3 millions d’euros, juste 20 fois plus. Dans son « malheur », Optical Center a eu tout de même de la chance : les faits incriminés datent de juillet 2017, et si les mêmes faits s’étaient produits après le 25 mai fatidique, le montant maximal aurait été porté à 2 % du CA de l’entreprise. En 2015, l’entreprise a réalisé un CA de 450 millions d’euros, et le montant maximal aurait donc été de 9 millions d’euros. En appliquant une bête règle de trois, cela aurait pu conduire la Cnil à prononcer une amende de 750 000 euros.
Ensuite, on ne peut que faire le lien avec l’affaire récente de Darty, qui pour exactement les mêmes dysfonctionnements, n’a été condamné qu’à 100 000 euros d’amende. Alors pourquoi cette différence ? Apparemment, pour deux raisons : la première est qu’Optical Center s’était déjà vu appliquer une amende pour des faits analogues quelques mois auparavant (50 000 euros) et que la Cnil a dû estimer que la récidive méritait rallonge, mais surtout parce qu’à la différence du site de Darty, qui ne contient que des informations administratives (nom, prénom, adresse des clients) et commerciales (produits, prix, etc.), celui d’Optical Center hébergeait en sus des données de nature médicale (correction) en plus des numéros Insee (qui sont souvent utilisés dans des usurpations d’identité).
Enfin, et c’est la partie du jugement qui a le plus d’impact sur un éventuel caractère « jurisprudentiel », même si l’entreprise, alertée par la Cnil de la faille de sécurité, a réagi très vite pour y remédier, la Cnil a considéré que ce genre de sécurité était tellement basique que la faille était inexcusable. Sur son site, la Cnil mentionne en effet avoir « estimé que la mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle ». Autrement dit, il existe des points de sécurité de la donnée personnelle qui ne relèvent pas de l’obligation de moyens, mais de l’obligation de résultat. Et là, cela change tout.
Nul doute que les fournisseurs d’équipements de protection des applications Web vont se frotter les mains, nul doute qu’il va falloir inclure dans les check-lists des prochains marchés un audit de ces composants préalable à la réception du marché, nul doute qu’il va falloir aussi penser à reporter sur les sous-traitants les conséquences financières de ce type de manquement aux règles élémentaires. Avec 250 000 euros, Optical Center aurait pu se payer un audit d’intrusion de son site Web en platine massif et un rapport tout en dorures.
Avez-vous apprécié ce contenu ?
A lire également.

Mais non, la 27001 n’est pas lourdingue !
06 oct. 2025 - 22:14,
Tribune
-Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies
06 oct. 2025 - 21:41,
Actualité
- DSIHPour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé
02 oct. 2025 - 10:31,
Communiqué
- La Poste Santé & AutonomieRendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Le Data Act : une nouvelle ère pour la gouvernance des données de santé
30 sept. 2025 - 07:15,
Tribune
-Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...