Dans une délibération du 5 novembre, la Commission nationale de l’informatique et des libertés (Cnil) vient d’infliger une sanction de 50 000 € à l’encontre de l’exploitant d’un site de vente de lunettes en ligne pour absence de sécurité des données clients. Cette sanction intervient quelques mois après que l’exploitant a été mise en demeure de se mettre en conformité avec la loi Informatique et libertés du 6 janvier 1978.
En l'espèce, il lui était reproché de n’avoir sécurisé ni la page d’accueil permettant à l’utilisateur de se connecter à son compte ni la page lui permettant de modifier son mot de passe. En particulier, la complexité des mots de passe des clients était insuffisante et l’accès des salariés aux données des clients n’était pas soumis à des conditions suffisamment strictes.
En outre, le contrat entre l’exploitant et son sous-traitant aurait dû comporter une clause définissant les obligations de ce dernier en matière de sécurité et de confidentialité des données, tout en précisant qu’il ne pouvait agir que sur instruction de l’exploitant.
