Données personnelles non protégées

En matière de protection des données personnelles, il convient de suivre de près la mise en production d’un site internet par un prestataire et de mettre à sa charge une garantie d’éviction sur le volet sécurité des données. Une sanction pécuniaire de 250.000 euros a été prononcée par la CNIL contre la société Optical Center.

Faille de sécurité en ligne

Suite à une information, la CNIL a effectué des vérifications en ligne sur le site d’Optical Center qui ont permis de constater qu’il était possible d’accéder librement, à partir des URL qui lui avaient été transmises, à plusieurs factures contenant les données à caractère personnel suivantes : nom, prénom, adresse postale, correction ophtalmologique et, pour certaines d’entre elles, la date de naissance des clients ainsi que leur numéro d’inscription au répertoire national d’identification des personnes physiques (NIR). Il était possible, depuis le domaine optical-center.fr et sans authentification préalable à l’espace client, d’exporter au format CSV, un échantillon de 2085 fichiers correspondant aux données personnelles de clients de l’enseigne.  Le nombre de documents concernés par cette faille de sécurité a été chiffré à près de 300 000 factures de clients.

Sanction sans mise en demeure

Cette sanction pécuniaire a été prononcée sans mise en demeure. Il résulte de l’article 45 de la loi du 6 janvier 1978 que le prononcé d’une sanction CNIL n’est pas subordonné à l’adoption préalable systématique d’une mise en demeure « lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure, la formation restreinte peut prononcer, sans mise en demeure préalable et après une procédure contradictoire, les sanctions  prévue au présent I ». L’objet de la réforme introduite par la loi pour une République numérique était d’élargir la gamme des sanctions directes que peut appliquer la CNIL, en autorisant le prononcé d’une sanction pécuniaire sans mise en demeure préalable, alors qu’auparavant, la formation restreinte ne pouvait en pareil cas prononcer qu’un avertissement. La loi précise expressément que lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure (qui ne peut par construction avoir d’effet que pour l’avenir et non pour le passé), la formation restreinte peut prononcer les sanctions prévues.

Notion de fuite des données

La fuite de données correspond simplement au manquement à l’obligation d’assurer la sécurité et la confidentialité des données. A ce titre, l’article 34 de la loi du 6 janvier 1978 dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » . En l’occurrence, les mesures élémentaires de sécurité n’avaient pas été prises en amont de la mise en production d’une nouvelle fonctionnalité du site internet de la société Optical Center.

Suivre de près la mise en production d’un site

Pour entrer dans les détails techniques, le site internet de la société, qui permet d’effectuer des commandes en ligne après avoir créé un compte dédié, n’intégrait pas de fonctionnalité permettant de vérifier qu’un client s’est bien authentifié à son espace personnel avant de lui donner accès aux dits documents. La formation restreinte a estimé que la société aurait dû mettre en place une restriction d’accès aux documents mis à disposition des clients via leur espace réservé dès lors que ce dernier a précisément pour objet de permettre aux clients d’accéder aux commandes en cours et passées, à leurs avoirs ou encore à leurs factures. La mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle dont la mise en œuvre aurait permis de réduire significativement le risque de survenance d’une telle violation de données.

De manière générale, l’exposition de ressources sans contrôle d’accès préalable, est identifiée depuis de nombreuses années comme faisant partie des failles de sécurité devant faire l’objet d’une surveillance particulière et doit, en conséquence, faire l’objet de vérifications notamment dans le cadre d’audits de sécurité.

[toggles class=”yourcustomclass”]

[toggle title=”Télécharger la Décision”]Télécharger [/toggle]

[toggle title=”Contrat sur cette thématique”]Vous disposez d’un modèle de document juridique sur cette thématique ? Besoin d’un modèle ? Complétez vos revenus en le vendant sur Uplex.fr, la 1ère plateforme de France en modèles de contrats professionnels[/toggle]

[toggle title=”Vous avez une expertise dans ce domaine ?”]Référencez votre profil sur Lexsider.com, la 1ère plateforme de mise en relation gratuite Avocats / Clients[/toggle]

[toggle title=”Poser une Question”]Posez une Question Juridique sur cette thématique, la rédaction ou un abonné vous apportera une réponse en moins de 48h.[/toggle]

[toggle title=”E-réputation | Surveillance de marques”]Surveillez et analysez la réputation d’une Marque (la vôtre ou celle d’un concurrent), d’une Personne publique (homme politique, acteur, sportif …) sur tous les réseaux sociaux (Twitter, Facebook …). Testez gratuitement notre plateforme de Surveillance de Marque et de Réputation numérique.[/toggle]

[toggle title=”Paramétrer une Alerte”]Paramétrez une alerte de Jurisprudence sur ce thème pour être informé par email lorsqu’une décision est rendue sur ce thème[/toggle]

[/toggles]