• Données personnelles

    par , Avocat
    par , Avocat associé

    50 000€ d’amende pour un défaut de sécurisation des données clients

    Après la société Régime Coach[1] et la Fédération Française d’Athlétisme[2] en 2014, la CNIL a sanctionné le 5 novembre dernier, la société Optical Center d’une amende de 50 000€ pour ne pas avoir suffisamment sécurisé les données des clients.

    Comme souvent, il s’agit une plainte auprès de la CNIL qui est à l’origine de la procédure[3]. Il convient de rappeler ici que le système de plainte en ligne permet aux particuliers d’alerter la CNIL très facilement.

    En l’espèce, un client s’était étonné auprès de la CNIL de la communication par téléphone de son mot de passe d’accès à son compte client. Il supposait que les mots de passe étaient stockés en clair dans la base de données de la société.

    Suite à un contrôle sur place, la CNIL a décidé de mettre en demeure Optical Center de :

    –          définir une durée de conservation des données traitées ;

    –          d’assurer l’information des personnes des traitements mis en œuvre ;

    –          de satisfaire aux obligations de sécurité et de confidentialité des données ;

    –          de répercuter toutes ces mesures sur l’ensemble des magasins du Groupe.

    Après un deuxième contrôle constatant une mise en conformité partielle, une procédure de sanction a été engagée par la société.

    • Des durées de conservation non respectées

    En substance la CNIL reproche à la société de ne pas respecter les durées de conservation prévues dans les normes simplifiées n°48 et n°54 auxquelles Optical Center s’était engagé.

    • Un chiffrement faisant défaut

    Par ailleurs, la société n’avait pas mis en place de chiffrement des communications de la page d’accueil du site internet permettant aux utilisateurs de s’identifier.

    • Une gestion des mots de passe insuffisante

    La CNIL critique également la robustesse des mots imposés aux salariés mais aussi aux clients. Concernant ceux des collaborateurs, elle a reproché l’absence de renouvellement automatique et le fait qu’ils soient changés manuellement par le responsable du site. Elle a également constaté l’absence de politique de gestion des mots de passe.

    • Un verrouillage automatique des postes requis

    La mise en demeure imposait également le verrouillage automatique des postes des collaborateurs en cas d’inactivité prolongée, ce qui n’a été mis en place que partiellement. L’argument de la défense, selon lequel, ce verrouillage automatique n’est pas nécessaire du fait de l’absence d’accès au public des locaux, a été considéré comme inopérant par la formation restreinte.

    La CNIL souligne que, malgré les efforts, les manquements étaient toujours caractérisés à l’issue du délai prévu pour se mettre en conformité et constatés suite au deuxième contrôle. Les efforts mis en œuvre postérieurement étaient ainsi sans incidence sur la caractérisation du manquement. La décision est donc très sévère sur ce point. On peut supposer que la sévérité de la décision s’explique par le nombre important de personnes impactées ainsi que du fait du traitement de données de santé relatives à la vue des personnes.

    Par ailleurs, les Commissaires ont estimé qu’il suffisait à OPTICAL CENTER d’imposer à ses clients, le renouvellement période des mots de passe pour être en conformité. Le lecteur constatera que cette préconisation n’est pas sans conséquences pour une société administrant plus de 170 000 comptes.

    • Quid des sous-traitants

    Enfin, la formation restreinte achève son raisonnement en déplorant l’absence de clause ad-hoc concernant la sécurité des données dans le contrat liant OPTICAL CENTER à son sous-traitant et relève qu’OPTICAL CENTER n’a pas répercuté l’ensemble des points de conformité à ses magasins.

    • Quelques pistes de conformité

    En matière de sécurité des données personnelles, voici des règles essentielles :

    –          Prévoir le chiffrement du canal de communication (HTTPS)

    –          Etablir des mots de passe robustes (8 caractères minimum avec majuscule, minuscule, caractère spéciaux)

    –          Crypter les mots de passe dans les bases de données

    –          Imposer un renouvellement automatique des mots de passe par le système

    –          Rédiger une procédure de gestion des mots de passe rigoureuse indiquant aux collaborateurs les règles à retenir

    Martine Ricouart-Maillet

    Avocat Associé

    Edouard Verbecq

    Avocat

     


    [1] Délibération n°2014-261

    [2] Délibération n°2014-293

    [3] En 2014, la CNIL déclare avoir reçu 5825 plaintes