Optical Center : sanction CNIL confirmée 

50 000 euros de sanction pour défaut de https

Le Conseil d'Etat a confirmé la sanction pécuniaire de 50 000 euros prononcée par la CNIL contre la société Optical Center.  En l’espèce, la zone de saisie de l'identifiant et du mot de passe pour accéder au compte client depuis la page d'accueil du site web de la société, n'était pas accessible depuis une page web sécurisée par le protocole " https ". Préalablement, la société avait été mise en demeure de mettre en oeuvre ce chiffrement et une authentification lors de l'accès à son site, que ce soit au stade de l'authentification des clients ou au stade du renseignement et de la validation du formulaire de collecte des données aux fins de création d’un compte client.

Prestataire hors de cause

La société Optical Center n’a pu se prévaloir du contrat de service la liant à son prestataire internet pour soutenir que ce dernier remplissait les obligations qui lui incombaient en matière de protection de la sécurité et de la confidentialité des données de ses clients.  En effet, si le contrat stipulait expressément que « les informations nominatives relatives au Client et contenues dans les fichiers ne seront transmises qu'aux personnes physiques ou morales expressément habilitées à les connaître », le terme " Client " renvoyait à la société Optical Center et non aux clients de celle-ci.

Sécurité insuffisante

La CNIL était également en droit de sanctionner les insuffisances du dispositif de sécurité sur les postes informatiques des salariés de la société Optical Center. La société avait été mise en demeure d'améliorer la robustesse des mots de passe de ses clients et salariés. Or, lors du contrôle CNIL, il a été constaté une absence de complexité suffisante des mots de passe des clients ayant déjà créé un compte.  Enfin, l'article 35 de la loi n° 78-17 du 6 janvier 1978 impose que le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement. Là aussi, il a été constaté que le contrat conclu entre la société et son sous-traitant ne comportait aucune clause relative à la sécurité et à la confidentialité des données.

[toggles class="yourcustomclass"][toggle title="Télécharger la Décision" class="in"]Télécharger [/toggle][toggle title="Poser une Question"]Posez une Question Juridique sur cette thématique, la rédaction ou un abonné vous apportera une réponse en moins de 48h.[/toggle][toggle title="Paramétrer une Alerte"]Paramétrez une alerte de Jurisprudence sur ce thème pour être informé par email lorsqu'une décision est rendue sur ce thème[/toggle][toggle title="Commander un Casier judiciaire"]Commandez le Casier judiciaire d'une société ou sur l'une des personnes morales citées dans cette affaire.[/toggle][toggle title="Vous êtes Avocat ?"]Vous êtes Avocat ? Référencez vos décisions, votre profil et publiez vos communiqués Corporate sur Lexsider.com. Vos futures relations d'affaires vous y attendent.[/toggle][/toggles]