Par une décision du 17 avril 2019, le Conseil d’Etat confirme le principe de la sanction prononcée par la Cnil (commission nationale de l’informatique et des libertés) contre Optical Center pour manquement à son obligation de sécurité mais réduit le montant de la somme infligée de 50 000 €, passant de 250 000 € à 200 000 €. Le Conseil d’Etat reproche à la formation restreinte de la Cnil de ne pas avoir pris en compte la rapidité avec laquelle la société avait apporté les mesures destinées à corriger les manquements constatés. Il en a conclu que la Commission avait prononcé une sanction disproportionnée.
Suite à un signalement rapportant que les données personnelles des clients étaient librement accessibles sur le site d’Optical Center, la Cnil avait effectué des vérifications en ligne. Elles ont permis de constater qu’il était possible d’accéder librement, à partir des URL qui lui avaient été transmises, à des factures contenant les données personnelles telles que le nom, le prénom, l’adresse postale, la correction ophtalmologique et, pour certaines d’entre elles, la date de naissance des clients ainsi que le numéro de sécurité sociale (le NIR). Le site en cause n’intégrait pas de fonctionnalité permettant de vérifier qu’un client s’était bien authentifié à son espace personnel avant de lui donner accès à ses factures et bons de commande, lesquels pouvaient contenir des données sensibles telles que les données de santé ou le numéro de sécurité sociale. Cette faille permettait ainsi de prendre connaissance des factures d’autres clients sur internet en modifiant la variable de l’URL correspondant à sa facture. Alertée par la Cnil, Optical Center a, deux jours après, ajouté une fonctionnalité permettant de s’assurer qu’un client était effectivement connecté à son espace personnel avant de lui fournir les seuls documents le concernant. La Cnil a néanmoins considéré l’existence d’un manquement aux obligations de sécurité prévues par la loi Informatique et libertés et a infligé une sanction pécuniaire de 250 000 € par une délibération du 7 mai 2018 qu’elle a décidé de rendre publique pendant deux ans. Optical Center a intenté un recours devant le Conseil d’Etat afin qu’il annule la délibération de la Cnil. Mais la cour suprême administrative a considéré que c’était à bon droit que la formation restreinte de la Cnil avait caractérisé l’existence d’un manquement à ses obligations de sécurité.