L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    Politique

    Optical Center épinglé par la Cnil pour "atteinte à la sécurité des données des clients"

    PARIS (TICpharma) - La Commission nationale de l'informatique et des libertés (Cnil) a épinglé la société Optical Center pour "atteinte à la sécurité des données des clients du site internet" et a infligé à l'opticien en ligne une amende record de 250.000 euros, a annoncé l'autorité administrative indépendante dans un communiqué le 7 juin.

    Le 28 juillet 2017, la Cnil a été alertée d'une possible "fuite de données conséquente" concernant Optical Center, rendant accessibles des données à caractère personnel à partir de plusieurs URL.

    Après avoir mené une série de contrôles "en ligne" et "sur place" le 31 juillet 2017, les équipes de la Cnil ont constaté qu’il était possible, en renseignant plusieurs URL dans la barre d’adresse d’un navigateur, d’accéder à des centaines de factures de clients de la société.

    "Ces factures contenaient des données telles que les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées."

    Alertée "le même jour", l'enseigne de produits d'optique a indiqué s'être rapprochée de son prestataire afin de prendre "les mesures nécessaires" pour mettre fin à l'incident de sécurité sur son site en ligne, qui "n'intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel avant de lui afficher ses factures" et offrait ainsi à chacun d’accéder aux documents d’un autre client de la société.

    Bien que saluant "la réactivité de la société dans la résolution de la faille", la formation restreinte de la Cnil a prononcé une sanction pécuniaire d’un montant de 250.000 euros, estimant que la société avait "manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi informatique et libertés".

    Parmi les manquements observés, le gendarme du numérique a considéré que la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société, "une précaution d’usage essentielle".

    La formation restreinte a également rappelé à la société qu'elle "n’était pas sans ignorer les risques liés à un défaut de sécurisation de son site" dès lors qu’une sanction de 50.000 euros avait déjà été prononcée en raison d’un défaut de sécurité en novembre 2015 pour les mêmes motifs.

    La Cnil ayant tenu sa délibération le 7 mai, cela permet à Optical Center d'échapper à une sanction plus lourde, rappelle-t-on.

    Car le nouveau règlement européen sur la protection des données personnelles (RGPD), entré en vigueur le 25 mai, prévoit des sanctions allant désormais jusqu'à 4% du chiffre d'affaires monde ou 20 millions d'euros (le montant le plus élevé étant retenu) pour toute entreprise dérogeant à la sécurité des données personnelles (voir dépêche du 28 mai 2018).

    La délibération de la Cnil n°SAN-2018-002 du 7 mai 2018 prononçant une sanction pécuniaire à l’encontre de la société Optical Center

    Wassinia Zirar
    Wassinia.Zirar@apmnews.com

    À suivre

    Projet de loi Pacte: le fonds pour l'innovation fait la part belle à l'IA et à la deep tech

    Solutions

    Comment Med-eShare veut collecter et monétiser le partage de données de santé

    PARIS (TICpharma) - En proposant aux médecins libéraux un nouveau logiciel de gestion de cabinet gratuit, connecté à une plateforme cloud, la start-up Med-eShare espère constituer une base de données de santé et monétiser le partage de ces données anonymisées avec les autorités de santé, les chercheurs et les industriels, a expliqué son directeur général, Jean-François Lanièce, lors d'une conférence de presse organisée en juillet.

    0 638

    Politique

    Données de santé: des précisions sur la composition et le fonctionnement du comité d'audit du SNDS

    PARIS (TICpharma) - Un décret d'application de la loi relative à la protection des données personnelles, publié le 3 août au Journal officiel, précise la composition et le fonctionnement du comité d'audit du système national des données de santé (SNDS).

    0 335

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    7 + 4 =