OPTICAL CENTER sanctionné par la CNIL pour atteinte à la sécurité des données de ses clients

La formation restreinte de la CNIL a publié sur son site sa décision de sanctionner OPTICAL CENTER à hauteur de 250 000€ pour atteinte à la sécurité des données du site internet www.optical-center.fr. Pour rappel, la société avait déjà été sanctionnée par la CNIL à une amende de 50 000€ pour le même motif en 2015.

Les données de santé à caractère personnel étaient accessibles en modifiant l'URL d'une facture émise par OPTICAL CENTER. Ainsi, il était possible de récupérer la facture d'un autre client, comportant les coordonnées de la personne, ses données de santé (correction ophtalmologique) et potentiellement, son numéro de sécurité sociale.

Cette faille était due à l'absence de vérification du statut de connexion du client : OPTICAL CENTER aurait dû imposer au client de s'authentifier sur le site pour accéder à sa facture. La société a corrigé rapidement ce défaut dès que la CNIL l'en a notifié.