La CNIL voit rouge sur la sécurité des données clients d’Optical Center

La CNIL est intransigeante sur la sécurité des bases de données et traque les mauvaises pratiques en la matière. Elle vient de le démontrer dans une délibération de sa formation restreinte du 5 novembre dernier en infligeant une amende de 50 000 euros à Optical Center.

Cette société vend des produits optiques (lunettes, lentilles, etc.) et en audiologie à travers 400 magasins et un site Internet comprenant 170 000 comptes utilisateurs. Le 8 juillet 2014, une personne a saisi la CNIL pour dénoncer la communication par téléphone de son mot de passe par la société, signe que les mots de passe des comptes clients étaient stockés en clair dans la base de données. Une erreur souvent dénoncée par l’ANSSI dans son guide de l’hygiène informatique et qui a été le point de départ d’une enquête des agents de la Commission Nationale de l’Informatique et des Libertés.

Après ces contrôles, la CNIL a mis en demeure Optical Center de renforcer la sécurisation des données clients, mais aussi d’affermir l’accès des salariés au back office du site web. Mais lors d’une second inspection et après une audition de la société concernée, la Commission a constaté la persistance de plusieurs manquements

Une sécurité des mots de passe insuffisante

Tout d’abord, « une absence de sécurisation de la page d’accueil permettant à l’utilisateur de se connecter à son compte et de la page lui permettant de modifier son mot de passe ». La CNIL a constaté « l’absence d’une complexité suffisante » pour les mots de passe choisis par les clients. Elle précise qu’Optical Center « pouvait imposer à tous les clients de renouveler leur mot de passe sans besoin d’y accéder en base pour modification ».

De plus, la responsable du site web « procédait elle-même au changement des mots de passe permettant aux salariés habilités d’accéder au back office », sans règles de renouvellement automatique des mots de passe en cas d’absence prolongée. Par ailleurs, il n’y avait aucune « politique de gestion des mots de passe pour l’accès aux postes informatiques des salariés ». Ce point a été réparé avec la mise en place d’un gestionnaire de mot de passe.

Des remèdes et une sous-traitance trop faibles

Optical Center s’est défendu en expliquant les différentes mesures mises en place pour se conformer aux exigences de la CNIL. Ainsi, elle a indiqué que l’accès depuis Internet au back office « s’effectuait au moyen d’un couple identifiant et mot de passe » en insistant sur la fait que le mot de passe est dorénavant « complexe » et que le protocole HTTPS a été mis en place. Sécurité trop faible estime le régulateur qui recommandait une double authentification. Même condamnation pour l’accès des salariés aux postes de travail en cas d’inactivité prolongée. Optical Center estime que ces postes ne sont pas vulnérables, car non accessible au public. La formation restreinte de la CNIL juge que cette sécurité physique ne doit pas être la seule et qu’en l’espèce, « le verrouillage automatique de l’ensemble des postes informatiques des salariés n’était pas assuré ».

Enfin pour enfoncer le clou, la CNIL constate que le contrat liant Optical Center et un sous-traitant ne comporte pas de clause relative à la sécurité et à la confidentialité des données. Seul un article y faisait référence, mais il traite des conditions d’accès et de rectification par la société aux données qui la concernent. On est donc loin des obligations incombant au prestataire en matière de protection de la sécurité et de confidentialité des données des clients de la société.

Nous avons sollicité un commentaire de la part d’Optical Center sur cette sanction de 50 000 euros, il nous a été répondu que la société s’était mise en conformité avec les exigences de la CNIL.

A lire aussi :

Information sur les cookies : la CNIL hausse le ton pour les retardataires

La CNIL épingle encore Apple France sur la vidéosurveillance des salariés

Crédit Photo : ostill-Shutterstock