Internet | Informatique

Site non sécurisé : Optical Center sanctionnée | 6 novembre 2018

Données personnelles non protégées

En matière de protection des données personnelles, il convient de suivre de près la mise en production d’un site internet par un prestataire et de mettre à sa charge une garantie d’éviction sur le volet sécurité des données. Une sanction pécuniaire de 250.000 euros a été prononcée par la CNIL contre la société Optical Center.

Faille de sécurité en ligne

Suite à une information, la CNIL a effectué des vérifications en ligne sur le site d’Optical Center qui ont permis de constater qu’il était possible d’accéder librement, à partir des URL qui lui avaient été transmises, à plusieurs factures contenant les données à caractère personnel suivantes : nom, prénom, adresse postale, correction ophtalmologique et, pour certaines d’entre elles, la date de naissance des clients ainsi que leur numéro d’inscription au répertoire national d’identification des personnes physiques (NIR). Il était possible, depuis le domaine optical-center.fr et sans authentification préalable à l’espace client, d’exporter au format CSV, un échantillon de 2085 fichiers correspondant aux données personnelles de clients de l’enseigne.  Le nombre de documents concernés par cette faille de sécurité a été chiffré à près de 300 000 factures de clients.

Sanction sans mise en demeure

Cette sanction pécuniaire a été prononcée sans mise en demeure. Il résulte de l’article 45 de la loi du 6 janvier 1978 que le prononcé d’une sanction CNIL n’est pas subordonné à l’adoption préalable systématique d’une mise en demeure « lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure, la formation restreinte peut prononcer, sans mise en demeure préalable et après une procédure contradictoire, les sanctions  prévue au présent I ». L’objet de la réforme introduite par la loi pour une République numérique était d’élargir la gamme des sanctions directes que peut appliquer la CNIL, en autorisant le prononcé d’une sanction pécuniaire sans mise en demeure préalable, alors qu’auparavant, la formation restreinte ne pouvait en pareil cas prononcer qu’un avertissement. La loi précise expressément que lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure (qui ne peut par construction avoir d’effet que pour l’avenir et non pour le passé), la formation restreinte peut prononcer les sanctions prévues.

Notion de fuite des données

La fuite de données correspond simplement au manquement à l’obligation d’assurer la sécurité et la confidentialité des données. A ce titre, l’article 34 de la loi du 6 janvier 1978 dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » . En l’occurrence, les mesures élémentaires de sécurité n’avaient pas été prises en amont de la mise en production d’une nouvelle fonctionnalité du site internet de la société Optical Center.

Suivre de près la mise en production d’un site

Pour entrer dans les détails techniques, le site internet de la société, qui permet d’effectuer des commandes en ligne après avoir créé un compte dédié, n’intégrait pas de fonctionnalité permettant de vérifier qu’un client s’est bien authentifié à son espace personnel avant de lui donner accès aux dits documents. La formation restreinte a estimé que la société aurait dû mettre en place une restriction d’accès aux documents mis à disposition des clients via leur espace réservé dès lors que ce dernier a précisément pour objet de permettre aux clients d’accéder aux commandes en cours et passées, à leurs avoirs ou encore à leurs factures. La mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle dont la mise en œuvre aurait permis de réduire significativement le risque de survenance d’une telle violation de données.

De manière générale, l’exposition de ressources sans contrôle d’accès préalable, est identifiée depuis de nombreuses années comme faisant partie des failles de sécurité devant faire l’objet d’une surveillance particulière et doit, en conséquence, faire l’objet de vérifications notamment dans le cadre d’audits de sécurité.

[toggles class= »yourcustomclass »]

[toggle title= »Télécharger la Décision »]Télécharger [/toggle]

[toggle title= »Contrat sur cette thématique »]Vous disposez d’un modèle de document juridique sur cette thématique ? Besoin d’un modèle ? Complétez vos revenus en le vendant sur Uplex.fr, la 1ère plateforme de France en modèles de contrats professionnels[/toggle]

[toggle title= »Vous avez une expertise dans ce domaine ? »]Référencez votre profil sur Lexsider.com, la 1ère plateforme de mise en relation gratuite Avocats / Clients[/toggle]

[toggle title= »Poser une Question »]Posez une Question Juridique sur cette thématique, la rédaction ou un abonné vous apportera une réponse en moins de 48h.[/toggle]

[toggle title= »E-réputation | Surveillance de marques »]Surveillez et analysez la réputation d’une Marque (la vôtre ou celle d’un concurrent), d’une Personne publique (homme politique, acteur, sportif …) sur tous les réseaux sociaux (Twitter, Facebook …). Testez gratuitement notre plateforme de Surveillance de Marque et de Réputation numérique.[/toggle]

[toggle title= »Paramétrer une Alerte »]Paramétrez une alerte de Jurisprudence sur ce thème pour être informé par email lorsqu’une décision est rendue sur ce thème[/toggle]

[/toggles]

Points juridiques et Modèles de contrats associés:

  • Preuve de l'acceptation des CGU d'un site : affaire… La création d’un compte sur un site ou la navigation de l’utilisateur ne prouve pas qu’il en a accepté les conditions générales d’utilisation (CGU). La preuve de la date certaine d’acceptation des CGU incombe à l’éditeur du site (preuve non rapportée en l’espèce).  
  • Contrat de location de site internet : force des PV… Le client qui s’engage sur une location de site internet ne peut résilier son contrat dès lors qu’il a signé i) un procès-verbal de réception du site internet dans lequel il a accusé réception sans réserve de son site, ii) au profit du loueur, la société LOCAM, un procès-verbal de livraison et de conformité aux termes duquel il a reconnu…
  • Bourse des Vols c/ Tripadvisor : compétence du… Il ressort de la teneur des messages, postés sur le forum de discussion de Tripadvisor dont l’objet est de permettre aux internautes d’échanger sur leurs expériences de voyages et de donner des conseils, que les critiques du site Bourse des Vols visent, non pas tant à porter atteinte à l’honneur et à la considération du site mais à mettre en…
  • LeBoncoin.fr c/ Entreparticuliers.com : indexation… Extraire massivement des petites annonces d’une plateforme tierce même avec la mise en place d’un lien retour porte atteinte aux droits de l’éditeur/producteur de la base de données.
  • Hébergement de contrefaçon : plaidez la réponse… L’ensemble des services qui sont proposés sur le site Alibaba, pour certains payants, inhérents au demeurant aux places de marché en ligne, n’ont qu’une finalité technique et logistique, pour permettre le fonctionnement du site et garantir à l’internaute, grâce à la structure et l’organisation du site et ses fonctionnalités, d’y trouver ce qu’il cherche. Ils ne permettent donc pas d’établir…
  • Sanction CNIL : modération de la sanction d’Optical Center La sanction pécuniaire de 250 000 euros infligée par la CNIL à la société Optical Center a été ramenée à 200 000 euros par le Conseil d’État.
  • Affaire Monreseau-immo.com c/ Monreseau-immo.partners.com Le titulaire de la marque semi-figurative « Monreseau- immo.com » a poursuivi en contrefaçon, concurrence déloyale et parasitisme, la société Monreseau- immo.partners. Cette dernière a opposé avec succès la déchéance des droits sur cette marque pour défaut de distinctivité.  
  • Alcool : organiser un jeu de promotion est illégal Les indications, en particulier fictives figurant sur un jeu en ligne de promotion de l’alcool, ne sont manifestement pas conformes aux exigences de l’article L. 3323-4 du code de la santé publique puisqu’elles ne fournissent pas des informations objectives sur l’origine du produit ou le terroir de production de celui-ci.
  • Les pièges du contrat de location de site avec financement Avant de vous engager sur un contrat de location de site internet avec option financière tenez bien compte de sa durée particulièrement longue (48 mois) et de la quasi impossibilité de le résilier avant terme.
  • Contrat de conception de site internet : la… En matière de conception de site internet, le respect du délai de livraison n’est pas déterminant si les parties n’ont prévu au contrat, aucune sanction au délai de délivrance
  • Dieudonné c/ Dieudamné L’assignation en diffamation doit permettre à l’adversaire de déterminer clairement sur quel fondement, il se trouve poursuivi afin de préparer utilement sa défense. En l’occurrence, l’assignation n’a pas permis aux intimés d’être informés clairement des faits qui leur sont reprochés et de faire valoir leurs droits tels que ceux prévus par l’article 55 de la loi du 29 juillet 1881,…
  • Contrat de référencement internet : une obligation… Les agences digitales n’ont qu’une obligation de moyens quant à la conception et au référencement d’un site internet.
  • Achat de followers : concurrence déloyale par TVA… Si le site internet de votre concurrent ne facture pas de TVA alors qu’en théorie il en est redevable (hors exception légale), vous pouvez obtenir sa condamnation pour concurrence déloyale. Pour rappel, le lieu d’établissement du prestataire, que ce soit dans un Etat membre de l’Union Européenne ou un Etat non membre, est indifférent à l’assujettissement à la TVA de…
  • Formulaires en ligne : se mettre en conformité avec le RGDP La création d’un compte en ligne sur le site d’un éditeur de presse en ligne ne doit pas seulement être accompagnée des informations relatives aux droits d’opposition, d’accès et de rectification mais également de l’intégralité des mentions d’information obligatoires prévues par le I de l’article 32 de la loi du 6 janvier 1978.
  • Copie des CGV d'un concurrent : 10 000 euros de… La comparaison entre les conditions générales d’utilisation de la société Conseil NR applicables à compter du 29 décembre 2014 et celles de la société followerspascher du 16 février 2015 montre que ces dernières en sont pour l’essentiel une reproduction à l’identique, allant jusqu’à reprendre les mêmes « coquilles », étant relevé que si la société Conseil NR justifie par des factures des…
Termes associés, , , , , , , , , , , , , , ,
Haut
error: Content is protected !!