Une fine de la taille des 250,000 euros a été imposée sur Optical Center, une société française spécialisée dans la vente de l'oeil et des prothèses auditives. Apparemment, la société n'a pas réussi à sécuriser les données de ses clients sur son site Internet, et par conséquent la CNIL (l'autorité de protection des données françaises) a décidé de les pénaliser.
Qu'est ce qui s'est passé? La CNIL a pris connaissance de la fuite de données importante qui a affecté le site de la société - www.optical-center.fr - en Juillet l'année dernière. Un contrôle en ligne était assez pour révéler qu'il était très facile aux factures d'accès clients simplement en entrant plusieurs URL dans le navigateur.
Les factures contenaient généralement des tonnes d'informations personnelles telles que nom et prénom, adresse physique, numéro de sécurité sociale. En plus de cela, il contenait également des détails de santé tels que la correction ophtalmique.
La société a admis que le site n'a pas authentifie de manière adéquate que les clients sont connectés à la zone client avant de communiquer leurs factures. De cette façon, il était très facile pour quiconque d'accéder aux factures d'autres clients - quelque chose qui aurait pu être exploitées dans de nombreux scénarios.
Pas le Centre optique reçoit une amende de First Time Gets, Non plus
Optical Center rapidement résolu le problème qui a été une fuite de données clients. Cependant, il n'a pas respecté l'article 34 de la Loi sur la protection des données françaises. En outre, ce n'est pas la première fois que la société n'a pas réussi à répondre aux normes de confidentialité. Précédemment il a été condamné à une amende 50,000 euros en 2015 pour une autre violation de la sécurité.
La 250,000 euros d'amende est la sanction financière la plus élevée jamais imposée en France pour un problème similaire. Cependant, il convient de noter que ce qui est arrivé avant le GDPR est entré en vigueur. Avec le GDPR, ces amendes peuvent être beaucoup plus - jusqu'à 4% du chiffre d'affaires annuel d'une organisation ou 20 millions d'euros.
Comme nous l'avons déjà écrit, sous GDPR, les organisations doivent mettre en œuvre les principes de protection des données, ainsi que des mesures techniques et organisationnelles, dans le seul but de protéger la vie privée et les utilisateurs droits des utilisateurs à la vie privée. Les organisations soumises aux réglementations à venir doivent invoquer la protection de la vie privée complète, Pendant ce temps, rendre les systèmes sûrs et les procédures se conformer strictement aux besoins de sécurité des données.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: