En juin 2018, Optical Center était condamné par la CNIL à une amende de 250 000 euros. Cette sanction faisait suite à un signalement, puis à un contrôle des inspecteurs de la commission qui ont constaté qu'en modifiant de manière simple l'URL de consultation d'un dossier client, il était possible de consulter les données d'autres clients, avec des informations d'ordre médical (la correction ophtalmique) ou le très sensible numéro de sécurité sociale. L'enseigne a immédiatement averti son prestataire pour corriger cette erreur.

Contestant l'amende, Optical Center a saisi le Conseil d'Etat pour annuler la délibération de la CNIL et à titre subsidiaire de réduire significativement le montant de la sanction pécuniaire. La plus haute juridiction administrative a rendu sa décision le 17 avril dernier. Il en résulte plusieurs éléments. Tout d'abord, elle a considéré que « c'est à bon droit que la formation restreinte de la CNIL a caractérisé l'existence d'un manquement aux obligations de sécurité prévues par l'article 34 précité ». En effet, pour le Conseil d'Etat, « il ne résulte pas de l'instruction, en particulier de la production par courrier du 5 mars 2018, d'une pièce intitulée " Programme de protection " Bannir les activités anormales sur le site " " , que la société aurait pris des précautions de sécurité suffisantes en mettant en place un protocole de tests en amont de la mise en production de son site internet en décembre 2016 ou en établissant un programme d'audits de sécurité ultérieurs ».

Sur le montant de l'amende, le Conseil d'Etat donne en partie raison à Optical Center. La juridiction considère que la formation restreinte de la CNIL n'a pas pris en compte la célérité de l'enseigne pour apporter les mesures correctrices de nature à remédier aux manquements. En conséquence, la sanction est jugée disproportionnée et le Conseil d'Etat ramène l'amende à 200 000 euros au lieu de 250 000 euros.