La RGPD ne perd pas de temps : deux semaines à peine après sa mise en place effective, la première sanction tombe, et c'est Optical Center qui écope ainsi d'une amende de 250 000 euros.
La CNIL a ainsi sanctionné une "fuite de données conséquente" successive à la découverte d'une faille de sécurité datant de 2017. Des internautes pouvaient ainsi accéder à des centaines de factures d'autres clients ainsi qu'à certaines données sensibles comme leurs données de santé ou encore leurs numéros de sécurité sociale.
3 millions de dossiers ont ainsi été téléchargés depuis le site d'Optical Center qui avait simplement indiqué "Effectivement, le site web ne vérifiait pas que les clients étaient connectés à leur compte client avant d'afficher les factures".
Optical Center a un lourd passif dans la légèreté avec laquelle le groupe traite la sécurisation des données. En 2015, la société avait déjà été sanctionnée par 50 000 € d'amende pour des questions de sécurité.
La CNIL a fait le choix de rendre l'affaire publique "en raison de la sensibilité particulière des données mises gratuitement à disposition, du nombre de clients impactés et du volume de documents contenus dans la base de données de l'entreprise au moment de l'incident."
Si l'amende est une des plus importantes jamais prononcée dans le Pays (grâce à l'élévation des pouvoirs de la CNIL permis par la RGPD), elle aurait pu être bien plus salée pour Optical Center si la fuite avait eu lieu après la mise en application de la RGPD, il aurait été question d'une amende pouvant alors atteindre 20 millions d'euros.