Le 7 août 2014 la CNIL a rendu une délibération prononçant un avertissement public à l’encontre de la société Orange pour « défaut de sécurité des données dans le cadre de campagne marketing ».
Le 25 avril 2014, suite à une défaillance technique de l’un de ses prestataires, la société Orange notifiait à la CNIL, conformément à l’article 34 bis de la loi du 6 janvier 1978 « Informatique et Libertés », une violation de données à caractère personnel concernant les nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile ayant impacté près de 1.3 million de ses clients.
En parallèle la société Orange avertissait ses clients via son site internet et par courriel de cette fuite de données, les invitant à une certaine prudence au regard des tentatives de phishing.
Cette violation de données à caractère personnel a été révélée à la société par l’un de ses clients, celui-ci ayant remarqué que le lien de désinscription figurant sur un courriel de prospection permettait, par une modification de l’adresse URL, d’accéder à un serveur du prestataire contenant des fichiers relatifs aux clients de la société Orange.
Afin de déterminer les conditions dans lesquelles une telle violation a pu se produire, la CNIL a effectué plusieurs contrôles auprès de la société Orange et de ses sous-traitants impliqués et a ainsi pu constater que plusieurs mesures de sécurité n’avaient pas été respectées, justifiant ainsi l’engagement d’une procédure de sanction à son encontre.
Ainsi, la CNIL en formation restreinte a relevé que la société Orange n’avait pas réalisé d’audit préalablement à l’utilisation de l’application technique de son prestataire pour l’envoi de campagnes d’emailing, alors qu’une telle mesure aurait certainement permis d’identifier la faille de sécurité. De plus, aucune clause de sécurité et de confidentialité des données n’était imposée au sous-traitant de la société Orange.
En outre, la CNIL a relevé que la société Orange avait communiqué les fichiers de mises à jour de ses données clients à ses sous-traitants par simple courriel, sans aucune mesure de cryptage.
La CNIL relève que l’on pouvait attendre qu’Orange assure de telles diligences de sécurité au regard de sa maîtrise des techniques de sécurisation des données à caractère personnel.
Par conséquent, la CNIL a déduit de ces faits que la société Orange avait failli à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients, obligation prévue à l’article 34 de la loi « Informatiques et Libertés » et a prononcé un avertissement public à l’encontre de la société Orange.
Si aucune sanction supplémentaire n’a été annoncée par la CNIL, cette affaire rappelle que les intrusions et vols de données de tous types constituent un risque d’une dangerosité avérée et qu’il est de ce fait indispensable de sécuriser les échanges entre les prestataires et les sous-traitants, les outils de cryptage constituant un moyen efficace d’y parvenir.
Les travaux en cours au niveau national et Européen, notamment avec le G29 manifestent une volonté commune de sécuriser les données à caractère personnel.
Sabah AOUAD
Téléchargez cet article au format .pdf
Confirmation en appel du statut d’éditeur d’un site de vente aux enchères et de parking de noms de domaine
