Mise à jour du 17/11/2015 à 09:59 : Mise en conformité

Optical Center vient de nous faire savoir que l'enseigne s'est mise en conformité aux demandes de la Cnil, depuis la décision prise par l'institution le 5 novembre dernier.

‪Suite à un défaut de sécurité des données clients, Optical Center a été condamné, le 5 novembre, à une amende de 50 000 euros par la Cnil (Commission nationale de l’informatique et des libertés). Cette décision fait suite à une plainte déposée le 8 juillet 2014 par une cliente du site web de l’enseigne qui dénonçait la communication par téléphone de son mot de passe.‬

Dans le détail, « en décembre 2014, la société Optical Center a été mise en demeure par la Présidente de la Cnil de se mettre en conformité avec la loi « Informatique et Libertés », notamment concernant les traitements de données personnelles de ses clients, suite à une plainte reçue qui avait donné lieu à un contrôle, explique l’institution dans sa déliberation publiée le 13 novembre. La société ayant apporté des éléments de réponse attestant d’une mise en conformité partielle, la Cnil a procédé à un nouveau contrôle sur place et à une audition de la société, en février et juin 2015. Ils ont permis de constater la persistance de certains manquements. La mise en demeure n’ayant pas été entièrement satisfaite, la formation restreinte de la Cnil a prononcé une sanction pécuniaire de 50 000 euros à l'encontre de la société Optical Center qu’elle a décidé de rendre publique ».‬

Aussi, la Cnil a considéré que l’enseigne ne s’était pas mise en conformité dans les délais impartis sur deux points : ‬

  • ‪La mise en place de mesures adaptées pour assurer la sécurité et la confidentialité des données de ses clients (170 000 comptes utilisateurs sur son site Internet).‬
  • ‪Le contrat signé par la société avec l’un de ses prestataires ne contenait pas de clause précisant les obligations de ce prestataire en matière de protection de la sécurité et de la confidentialité des données des clients.‬

Optical Center a la possibilité de déposer un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification. A notre connaissance, cette affaire constitue une première sanction de la part de la Cnil sur les données conservées par les opticiens. Une décision qui semble bien sévère ! ‬

Pour lire la totalité de la délibération de la formation restreinte de la Cnil, cliquez ici.‬

Déclarer vos fichiers clients auprès de la Cnil : obligations et mode d'emploi !

En tant que commerçants et professionnels de santé, vous collectez et transmettez des données relatives à vos clients. De plus, 95% d'entre vous pratiquent aujourd'hui le tiers payant en magasin. Une transmission de données par téléphone, fax ou de façon numérique, qui vous oblige à être en règle par rapport à la loi Informatique et Libertés.‬

Pour cela, la Cnil a notamment créé la norme simplifiée n°54 pour les opticiens-lunetiers. Si vous avez informatisé votre fichier clients et que vous n'avez pas effectué cette déclaration, vous pouvez le faire facilement sur le site Internet de la Cnil. Après avoir vérifié que votre fichier correspond aux standards de cette norme, il vous suffit de remplir le formulaire de déclaration disponible en ligne. Notez aussi que la loi Informatique et libertés vous oblige, au moment où vous renseignez le dossier de votre client, à l'informer de ses droits par des mentions précises. Vous pouvez ainsi lui préciser, par affichage ou sur papier par exemple sur vos devis, le texte suivant :

« Votre opticien dispose d'un système informatique destiné à gérer plus facilement ses ventes (facturation, remboursements). Les informations qui vous sont demandées feront l'objet, sauf opposition justifiée de votre part, d'un enregistrement informatique réservé à l'usage de votre opticien, et le cas échéant de votre caisse de sécurité sociale, de votre organisme d'assurance maladie complémentaire. Vous pouvez accéder aux informations vous concernant auprès de votre opticien*.

(*Articles 32, 38, 39, 40 de la Loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ; Loi n°2002-303 du 4 mars 2002 relative aux droits des malades ; décret n° 2002-637 du 29 avril 2002) ».‬

A noter : la durée de conservation des données est de 5 ans, puis un archivage de 15 ans sur support distinct et dans des conditions de sécurité équivalentes.