CE – Optical Center – 449284

Décision

Autorité:

Conseil d'Etat

Numéro:

449284

Nom:

Optical Center

Date:

26 avril 2022

Pays:

France

Lien:

Cliquer ici

Contexte

A la suite de la notification faite, le 4 janvier 2019, par la société Optical Center à la CNIL d'une attaque sur son site internet de vente en ligne ainsi qu'au dépôt de plusieurs plaintes de clients et de prospects de cette société, la CNIL a procédé, les 19 février, 29 avril et 27 et 28 mai 2019, à plusieurs contrôles, sur place dans les locaux de la société et en ligne sur son site web.

Par une délibération en date du 6 janvier 2021, la formation restreinte de la CNIL a prononcé à l'encontre de la société Optical Center une amende administrative d'un montant de 250 000 euros à raison des manquements constatés aux dispositions des articles 12 paragraphe 2 et 32 du RGPD et lui a enjoint de mettre ses traitements en conformité avec ces dispositions, sous astreinte de 500 euros par jour de retard à l'issue d'un délai de trois mois suivant la notification de sa délibération. Optical Center conteste cette décision.

Apport(s)
Obligation de sécurité - Manquements - Absence de contrôle régulier des mesures techniques et organisationnelles prises par le sous-traitant - Insuffisance de la politique de mots de passe Extrait(s) pertinent(s)5. Il résulte de l'instruction, d'une part, que la vulnérabilité du système informatique à l'origine de la violation des données de près de 200 000 clients européens est la conséquence directe de l'absence de mise en œuvre par la société Optical Center d'un contrôle régulier sur les mesures techniques et organisationnelles prises par son sous-traitant chargé d'assurer la sécurité de son site web, aucun document produit par cette dernière ne permettant de justifier de la mise à jour régulière des différents composants logiciels du site. D'autre part, le manque de robustesse de la politique de mots de passe de la société eu égard aux catégories de données traitées qui incluent notamment le numéro de sécurité sociale de ses clients, a accru l'exposition de son système à un risque d'attaque informatique. Par suite, les moyens tirés de ce que la formation restreinte de la CNIL aurait méconnu les dispositions de l'article 32 du règlement précité et commis une erreur d'appréciation en considérant qu'elle avait manqué aux obligations en découlant, ne peuvent qu'être écartés. Article(s) du RGPD Article 32 – Sécurité du traitement Fait référence à Autres informations

Apport(s)

Obligation de sécurité - Manquements - Absence de contrôle régulier des mesures techniques et organisationnelles prises par le sous-traitant - Insuffisance de la politique de mots de passe

Extrait(s) pertinent(s)5. Il résulte de l'instruction, d'une part, que la vulnérabilité du système informatique à l'origine de la violation des données de près de 200 000 clients européens est la conséquence directe de l'absence de mise en œuvre par la société Optical Center d'un contrôle régulier sur les mesures techniques et organisationnelles prises par son sous-traitant chargé d'assurer la sécurité de son site web, aucun document produit par cette dernière ne permettant de justifier de la mise à jour régulière des différents composants logiciels du site. D'autre part, le manque de robustesse de la politique de mots de passe de la société eu égard aux catégories de données traitées qui incluent notamment le numéro de sécurité sociale de ses clients, a accru l'exposition de son système à un risque d'attaque informatique. Par suite, les moyens tirés de ce que la formation restreinte de la CNIL aurait méconnu les dispositions de l'article 32 du règlement précité et commis une erreur d'appréciation en considérant qu'elle avait manqué aux obligations en découlant, ne peuvent qu'être écartés.
Article(s) du RGPD Article 32 – Sécurité du traitement
Fait référence à
Autres informations

Références

Cette décision cite...

Cette décision est citée par...

> CNIL – Doctissimo – SAN-2023-006

11 mai 2023

Signaler une erreur / Faire une suggestion