L’actualité numérique des industries de santé

    L’actualité numérique des industries de santé

    Politique

    Optical Center épinglé par la Cnil pour "atteinte à la sécurité des données des clients"

    PARIS (TICpharma) - La Commission nationale de l'informatique et des libertés (Cnil) a épinglé la société Optical Center pour "atteinte à la sécurité des données des clients du site internet" et a infligé à l'opticien en ligne une amende record de 250.000 euros, a annoncé l'autorité administrative indépendante dans un communiqué le 7 juin.

    Le 28 juillet 2017, la Cnil a été alertée d'une possible "fuite de données conséquente" concernant Optical Center, rendant accessibles des données à caractère personnel à partir de plusieurs URL.

    Après avoir mené une série de contrôles "en ligne" et "sur place" le 31 juillet 2017, les équipes de la Cnil ont constaté qu’il était possible, en renseignant plusieurs URL dans la barre d’adresse d’un navigateur, d’accéder à des centaines de factures de clients de la société.

    "Ces factures contenaient des données telles que les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées."

    Alertée "le même jour", l'enseigne de produits d'optique a indiqué s'être rapprochée de son prestataire afin de prendre "les mesures nécessaires" pour mettre fin à l'incident de sécurité sur son site en ligne, qui "n'intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel avant de lui afficher ses factures" et offrait ainsi à chacun d’accéder aux documents d’un autre client de la société.

    Bien que saluant "la réactivité de la société dans la résolution de la faille", la formation restreinte de la Cnil a prononcé une sanction pécuniaire d’un montant de 250.000 euros, estimant que la société avait "manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi informatique et libertés".

    Parmi les manquements observés, le gendarme du numérique a considéré que la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société, "une précaution d’usage essentielle".

    La formation restreinte a également rappelé à la société qu'elle "n’était pas sans ignorer les risques liés à un défaut de sécurisation de son site" dès lors qu’une sanction de 50.000 euros avait déjà été prononcée en raison d’un défaut de sécurité en novembre 2015 pour les mêmes motifs.

    La Cnil ayant tenu sa délibération le 7 mai, cela permet à Optical Center d'échapper à une sanction plus lourde, rappelle-t-on.

    Car le nouveau règlement européen sur la protection des données personnelles (RGPD), entré en vigueur le 25 mai, prévoit des sanctions allant désormais jusqu'à 4% du chiffre d'affaires monde ou 20 millions d'euros (le montant le plus élevé étant retenu) pour toute entreprise dérogeant à la sécurité des données personnelles (voir dépêche du 28 mai 2018).

    La délibération de la Cnil n°SAN-2018-002 du 7 mai 2018 prononçant une sanction pécuniaire à l’encontre de la société Optical Center

    Wassinia Zirar
    Wassinia.Zirar@apmnews.com

    À suivre

    Projet de loi Pacte: le fonds pour l'innovation fait la part belle à l'IA et à la deep tech

    Politique

    Intelligence artificielle: la santé (et ses données) au cœur de la stratégie du gouvernement

    PARIS (TICpharma) - Le président de la République, Emmanuel Macron, a dévoilé le 29 mars le "Plan pour l’intelligence artificielle" de son quinquennat qui fait la part belle au secteur de la santé, et dont le budget alloué de 1,5 milliard d’euros est destiné à faire de la France "un champion" dans le domaine.

    0 706

    Acteurs

    Quel traitement pour les données personnelles à l’heure du RGPD?

    PARIS (TICpharma) - A compter du 25 mai 2018, le règlement européen sur la protection des données personnelles (RGPD) s’appliquera à tous les acteurs traitant des données personnelles et notamment ceux du secteur de la santé. A deux mois de l’entrée en application du texte européen, comment s’organisent-ils?

    0 636

    Vos réactions

    Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
    6 + 8 =