RGPD : une première condamnation à 250 000€ d'amende pour Optical Center

Le par  |  31 commentaire(s)
Optical Center

Deux semaines après la mise en application du Règlement Général sur la Protection des Données, la CNIL prononce sa première sanction et c'est Optical Center qui en écope.

La RGPD ne perd pas de temps : deux semaines à peine après sa mise en place effective, la première sanction tombe, et c'est Optical Center qui écope ainsi d'une amende de 250 000 euros.

La CNIL a ainsi sanctionné une "fuite de données conséquente" successive à la découverte d'une faille de sécurité datant de 2017. Des internautes pouvaient ainsi accéder à des centaines de factures d'autres clients ainsi qu'à certaines données sensibles comme leurs données de santé ou encore leurs numéros de sécurité sociale.

Optical Center

3 millions de dossiers ont ainsi été téléchargés depuis le site d'Optical Center qui avait simplement indiqué "Effectivement, le site web ne vérifiait pas que les clients étaient connectés à leur compte client avant d'afficher les factures".

Optical Center a un lourd passif dans la légèreté avec laquelle le groupe traite la sécurisation des données. En 2015, la société avait déjà été sanctionnée par 50 000 € d'amende pour des questions de sécurité.

La CNIL a fait le choix de rendre l'affaire publique "en raison de la sensibilité particulière des données mises gratuitement à disposition, du nombre de clients impactés et du volume de documents contenus dans la base de données de l'entreprise au moment de l'incident."

Si l'amende est une des plus importantes jamais prononcée dans le Pays (grâce à l'élévation des pouvoirs de la CNIL permis par la RGPD), elle aurait pu être bien plus salée pour Optical Center si la fuite avait eu lieu après la mise en application de la RGPD, il aurait été question d'une amende pouvant alors atteindre 20 millions d'euros.

Complément d'information

Vos commentaires Page 1 / 4

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2018764
le montant, sans être mirobolant, a de quoi au moins faire réfléchir sur l’intérêt pour ces sociétés de sécurisées les données de ses clients
Le #2018765
Excellentissime !!

Messieurs, il va être temps de travailler enfin sur la sécurisation des données des clients.
Fini le je m'en foutisme !
Le #2018770
Pourquoi appelle t-on le cas d'optical center la première condamnation RGPD si cette condamnation concerne l'avant RGPD avec une amende bien inférieure à ce qui est prévue par cette même loi ? L'amende aurait été celle prévue, c'est à dire 20 Millions pourquoi pas mais là c'est des broutilles.
Le #2018772
CoRsCiA a écrit :

le montant, sans être mirobolant, a de quoi au moins faire réfléchir sur l’intérêt pour ces sociétés de sécurisées les données de ses clients


C'est 3% de son chiffre d'affaire mondial
Le #2018774
iFlo59 a écrit :

CoRsCiA a écrit :

le montant, sans être mirobolant, a de quoi au moins faire réfléchir sur l’intérêt pour ces sociétés de sécurisées les données de ses clients


C'est 3% de son chiffre d'affaire mondial


cela doit tout de même les faire chier de lâcher cette thune comme ca
Le #2018776
CoRsCiA a écrit :

iFlo59 a écrit :

CoRsCiA a écrit :

le montant, sans être mirobolant, a de quoi au moins faire réfléchir sur l’intérêt pour ces sociétés de sécurisées les données de ses clients


C'est 3% de son chiffre d'affaire mondial


cela doit tout de même les faire chier de lâcher cette thune comme ca


Surtout qu'ils ne sont milliardaire comme Google
Le #2018780
Pas grand chose à voir avec la RGPD.
Peut-être que la CNIL a plus de pouvoir, mais avant la RGPD, elle pouvait déjà sanctionner une entreprise pour défaut de sécurité, c'est chose faite pour Optical Center, avec une petite amende.

La loi ne peut être rétroactive, sauf dans les dictatures. Ce genre d'incident qui se produit maintenant peut coûter beaucoup plus cher. Sur https://donness-rgpd.fr/ : "Les amendes peuvent s’élever à 20 000 000 d’euros ou, dans le cas d’une entreprise, à 4% du chiffre d’affaires mondial total de l’exercice précédent (le montant le plus élevé étant retenu)"
Le #2018782
iFlo59 a écrit :

CoRsCiA a écrit :

le montant, sans être mirobolant, a de quoi au moins faire réfléchir sur l’intérêt pour ces sociétés de sécurisées les données de ses clients


C'est 3% de son chiffre d'affaire mondial


ca serait 4% la sanction à appliquer, mais les 250 000 n'ont rien a voir avec ce calcul.

Ci dessous les différentes sanctions en fonction des manquements au RGPD :

Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design, Privacy By Default, en matière de PIA, etc. ;

Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).
Le #2018790
CoRsCiA a écrit :

iFlo59 a écrit :

CoRsCiA a écrit :

le montant, sans être mirobolant, a de quoi au moins faire réfléchir sur l’intérêt pour ces sociétés de sécurisées les données de ses clients


C'est 3% de son chiffre d'affaire mondial


cela doit tout de même les faire chier de lâcher cette thune comme ca


C'est vraiment parfait.
Juqu'à aujourd'hui tout le monde prenait le problème des données personnelles par dessus la jambe.
Quelques bon exemples comme ça vont inciter à traiter le problème autrement qu'en nous envoyant des centaines de mails pour nous dire qu'ils s'en occupent !
Le #2018803
Cette loi va bientôt diriger les marchés lol. Ceux qui ont le plus les moyens d'avoir un service dédié à la sécurisation des données perso ont des fuites, donc autant dire que tout le monde est susceptible d'en avoir des fuites.

C'est l'image de ces entreprises qui est pointée du doigt qui va en prendre un coup plus que l'amende à payer, donc leur côte en général...bourse ou pas bourse.

Surtout qu'on va encore mieux savoir comment nos données sont stockées si on veut le savoir, une aubaine pour les hackers. ha bon mes données sont sur un serveur aux états-unis, et bien maintenant je le sais, ha c'est redondé ailleurs, ok, yen a partout en fait, et sinon c'est chiffré comment qu'on sache plutôt que chercher.

Europe: Pas bien, toi pas assez secure, toi donner argent jusqu'à ce que tu sois aussi fort que facebook, toi pas aussi fort que facebook, toi laisser ton tomber alors ou encore donner argent.

Si ça c'est pas du sur ransomware légal. C'est comme payer une option anti DDOS à un opérateur et que ça ne fonctionne même pas... lol... tout le monde se gave...

Une vraie prise d'otage pour les entreprises, c'est qui le méchant ? LOL

Ya un super scénar pour un bon film...

En attendant, on bouffe de la merde parce qu'il n'y a rien de contrôlé sur ce qui vient d'europe et d'ailleurs.
Suivre les commentaires
Poster un commentaire
Anonyme