Par délibération – rendue publique – en date du 7 mai 2018, la CNIL a condamné la société Optical Center à une sanction pécuniaire d’un montant de 250.000 euros pour manquement à son obligation de sécurité des données personnelles. Il s’agit de la sanction la plus élevée prononcée en France par la CNIL.
Le 28 juillet 2017, la Commission nationale de l’informatique et des libertés (la « CNIL ») a été informée d’une possible fuite de données concernant la société Optical Center, rendant librement accessibles, à partir de plusieurs URL ayant une structure identique, des données à caractère personnel.
Après enquête, la CNIL a constaté qu’il était possible d’accéder librement, à partir des URL qui lui avaient été transmises, à plusieurs factures contenant les données personnelles suivantes : nom, prénom, adresse postale, correction ophtalmologique et, pour certaines d’entre elles, la date de naissance des clients ainsi que leur numéro d’inscription au répertoire national d’identification des personnes physiques (NIR). En outre, il était également possible, depuis le domaine optical-center.fr et sans authentification préalable à l’espace client, d’exporter un échantillon de 2085 fichiers correspondant aux données de clients et faisant notamment apparaitre 158 NIR.
Après avoir été alertée de cette fuite de données par la CNIL, la société Optical Center a indiqué que le défaut de sécurisation était dû « à l’absence de contrôle de la connexion d’un client avant l’affichage de leur contenu » et que, selon son prestataire, le défaut de sécurisation du site internet avait été corrigé le 2 août 2017.
1. Sur l’absence de nullité de la procédure pour défaut de mise en demeure préalable
La société Optical Center soutenait que la procédure de sanction de la CNIL était entachée de nullité dès lors qu’elle n’avait fait l’objet d’aucune mise en demeure préalable, en violation du 1er alinéa de l’article 45 de la loi n°78-17 du 6 janvier 1978 dite « Informatique et libertés ». Elle arguait du fait que la Présidente de la CNIL aurait dû la mettre en demeure de corriger le manquement et qu’en l’absence d’une telle précaution, la procédure de sanction initiée devait être déclarée nulle.
La CNIL rappelle qu’en vertu de l’article 45 de la loi Informatique et libertés, « le prononcé d’une sanction n’est pas subordonné à l’adoption préalable systématique d’une mise en demeure ». Ainsi, lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure, des sanctions peuvent être directement prononcées.
A ce titre, la CNIL relève que l’interprétation du texte invoquée en défense par la société Optical Center aurait pour effet de laisser impuni des infractions passées ne pouvant faire l’objet d’une mise en conformité a posteriori.
Par conséquent, dans la mesure où la fuite de données ne pouvait faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure, le manquement pouvait être directement sanctionné.
2. Sur le manquement de la société Optical Center à son obligation d’assurer la sécurité des données personnelles
Selon l’article 34 de la loi Informatique et libertés, « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». La CNIL estime qu’en l’espèce, la société Optical Center a manqué à son obligation d’assurer la sécurité des données personnelles de ses clients.
D’une part, le site de la société Optical Center, permettant d’effectuer des commandes en ligne après avoir créé un compte client, ne prévoyait pas « de fonctionnalité permettant de vérifier qu’un client s’est bien authentifié à son espace personnel avant de lui donner accès aux commandes en cours et passées ». La CNIL considère que la société Optical Center se devait de mettre « une restriction d’accès aux documents mis à disposition des clients via leur espace réservé ». Selon elle, une telle fonctionnalité constitue « une précaution d’usage essentielle dont la mise en œuvre aurait permis de réduire significativement le risque de survenance d’une telle violation de données ».
D’autre part, l’exploitation de la violation de données ne nécessitait aucune compétence technique particulière. En effet, comme le souligne la CNIL, « pour accéder aux documents d’autres clients, il suffisait de modifier le paramètre id relatif à l’identifiant de la facture, lequel était parfaitement visible au sein de l’URL affichée dans la barre d’adresse du navigateur lorsqu’un client consulte une facture ou un bon de commande ».
Rappelons qu’au sens du Règlement Général de Protection des Données (le « RGPD ») entré en application le 25 mai 2018, le responsable du traitement est tenu de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, dont des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.
Enfin, la CNIL précise que le caractère informel des échanges intervenus entre la société Optical Center et son prestataire, a rendu, plus difficile le suivi par le responsable du traitement, des actions entreprises par son prestataire, des correctifs apportés par ce dernier ainsi que des recommandations qui auraient pu être formulées.
Rappelons là encore que le RGPD instaure une forme de co-responsabilité entre le responsable du traitement et ses sous-traitants obligeant le premier à prévoir par contrat les modalités de vérification des mesures de sécurité effectivement mises en place par son sous-traitant, sous la forme notamment d’audits.
3. Sur la sanction prononcée
En tant que responsable du traitement ayant méconnu son obligation d’assurer la sécurité des données traitées, la société Optical Center est condamnée à une amende de 250.000 euros.
Pour le prononcé de sa sanction, la CNIL a pris en compte les éléments suivants afin de déterminer le montant de la sanction :
- le défaut de sécurisation rendant librement accessibles des données directement identifiantes, des données sensibles ainsi que le NIR des personnes concernées ;
- le défaut de sécurisation concerne un nombre important de clients de la société Optical Center ;
- la méconnaissance de cette violation de données par la société Optical Center en l’absence de l’intervention de la CNIL.
Une telle sanction paraît d’autant plus justifiée que la CNIL avait déjà, en 2015, prononcé une sanction de 50 000 euros à l’encontre d’Optical Center.
En outre, la CNIL rappelle que « les risques liés à la divulgation de données personnelles ne sauraient être limités à une indexation de ces dernières par les moteurs de recherche ou à l’accès à l’espace client et à la modification de documents ». En effet, la divulgation de données se rapportant à l’identité des personnes concernées expose ces dernières à des risques multiples parmi lesquels figure celui de faire l’objet d’un hameçonnage ciblé (phising).
Enfin, la CNIL justifie la publicité de sa décision par le « caractère particulièrement sensible des données en cause », la multiplication actuelle des incidents de sécurité ainsi que « la nécessité de sensibiliser les internautes quant aux risques pesant sur la sécurité de leurs données ».
L’amende prononcée par la CNIL à l’encontre d’Optical Center est la sanction la plus élevée jamais infligée en France. Elle met en lumière les impératifs à respecter en matière de sécurité des données à caractère personnel. Depuis l’entrée en application du RGPD, les entreprises sont tenues de mettre en place une véritable politique de sécurité des données personnelles, sous peine d’amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.