Sécurité : Optical Center mis à l’amende par la CNIL

Poste de travail
cnil-optical-center

La CNIL inflige 50 000 euros d’amende à Optical Center pour divers manquements en matière de gestion des données de ses clients.

mise à jour du 17 novembre 2015 à 12 h 47 : Optical Center précise s’être « mis en conformité » avec les exigences de la CNIL depuis la décision dont il est question ci-dessous.

Dans une délibération du 5 novembre 2015, la formation restreinte de la CNIL a infligé 50 000 euros d’amende à Optical Center.

L’entreprise française, qui commercialise des produits d’optique et d’audiologie à travers 400 magasins et un site Internet, a été condamnée pour des manquements à l’obligation d’assurer la sécurité et la confidentialité des données de ses clients.

La Commission nationale de l’informatique et des libertés avait été saisie le 8 juillet 2014 par un particulier qui dénonçait le fait qu’Optical Center ait communiqué son mot de passe par téléphone. Ce qui laissait suggérer que l’ensemble des mots de passe associés aux comptes clients étaient stockés en clair dans la base de données de la société.

Cette erreur, mentionnée à plusieurs reprises par l’ANSSI dans son guide de l’hygiène informatique, avait été le point de départ de l’enquête. Laquelle s’était soldée sur une mise en demeure. Optical Center était prié non seulement de renforcer la sécurisation des données de ses clients, mais aussi de mieux réguler l’accès des salariés au back-office du site Web.

Dans le cadre d’une inspection ultérieure, la CNIL a constaté que des manquements avaient persisté. En premier lieu, « une absence de sécurisation de la page d’accueil permettant à l’utilisateur de se connecter à son compte et de la page lui permettant de modifier son mot de passe ».

Tout en précisant qu’Optical Center « pouvait imposer à tous les clients de renouveler leur mot de passe sans besoin d’y accéder en base pour modification », la Commission a souligné la liberté laissée à la responsable du site. Cette dernière « procédait elle-même au changement des mots de passe permettant aux salariés habilités d’accéder au back-office », sans règles de renouvellement automatique des mots de passe en cas d’absence prolongée.

Il n’existait par ailleurs aucune « politique de gestion des mots de passe pour l’accès aux postes informatiques des salariés » (un manquement résorbé avec un gestionnaire de mots de passe).

Pour sa défense, Optical Center a mis en avant les différentes mesures correctives prises par ses soins, dont la mise en place d’un « couple identifiant / mot de passe » pour accéder au back-office et la mise en oeuvre du protocole HTTPS. Une sécurité néanmoins insuffisante, selon le régulateur, qui recommandait une double authentification.

Concernant les postes de travail des salariés, Optical Center juge qu’ils ne sont pas vulnérables, car non accessibles au public. Du côté de la CNIL, on assure que cette sécurité physique ne doit pas être la seule et qu’en l’espèce, « le verrouillage automatique de l’ensemble des postes informatiques des salariés n’était pas assuré ».

Autre grief, relevé par Silicon.fr : le contrat liant Optical Center et un sous-traitant ne comportait pas de clause relative à la sécurité et à la confidentialité des données. Seul un article y faisait référence, mais il traitait simplement des conditions d’accès et de rectification par la société aux données qui la concernent.

Crédit photo : Andrey_Popov – Shutterstock.com

Lire aussi :