Deux semaines après la mise en application du Règlement Général sur la Protection des Données, la CNIL prononce sa première sanction et c’est Optical Center qui en écope.
La RGPD ne perd pas de temps : deux semaines à peine après sa mise en place effective, la première sanction tombe, et c’est Optical Center qui écope ainsi d’une amende de 250 000 euros.
La CNIL a ainsi sanctionné une « fuite de données conséquente » successive à la découverte d’une faille de sécurité datant de 2017. Des internautes pouvaient ainsi accéder à des centaines de factures d’autres clients ainsi qu’à certaines données sensibles comme leurs données de santé ou encore leurs numéros de sécurité sociale.
3 millions de dossiers ont ainsi été téléchargés depuis le site d’Optical Center qui avait simplement indiqué « Effectivement, le site web ne vérifiait pas que les clients étaient connectés à leur compte client avant d’afficher les factures ».
Optical Center a un lourd passif dans la légèreté avec laquelle le groupe traite la sécurisation des données. En 2015, la société avait déjà été sanctionnée par 50 000 € d’amende pour des questions de sécurité.
La CNIL a fait le choix de rendre l’affaire publique « en raison de la sensibilité particulière des données mises gratuitement à disposition, du nombre de clients impactés et du volume de documents contenus dans la base de données de l’entreprise au moment de l’incident. »