En juillet 2017, la Commission nationale de linformatique et des libertés (Cnil) a été informée de nombreuses fuites de données des clients de la société Optical Center. La Commission a en effet constaté la possibilité, en renseignant plusieurs URL dans la barre dadresse dun navigateur, daccéder à de nombreuses factures de clients, contenant des données nominatives telles que de leur identité, leurs données de santé voire leur numéro de sécurité sociale.
Lors dun contrôle sur place, la société a reconnu que son site internet nintégrait pas de fonctionnalité permettant de vérifier quun client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures, simplifiant ainsi laccès à quiconque aux documents dun autre client de la société.
Le 7 juin 2018, la formation restreinte de la Cnil a donc prononcé une sanction pécuniaire de 250.000 à lencontre dOptical Center pour manquement à son obligation de sécurité des données personnelles, en méconnaissance de larticle 34 de la loi Informatique et libertés.
Selon la Cnil, la question de la restriction daccès aux documents mis à disposition des clients, à partir de leur espace personnel, aurait dû faire lobjet dune attention particulière de la part de la société, cette fonctionnalité constituant une précaution dusage essentielle. La formation restreinte a rappelé que la société avait déjà été sanctionnée en 2015 à une amende de 50.000 pour défaut de sécurité, celle-ci nayant donc pu ignorer les risques liés à un défaut de sécurisation de son site.