Fuite de données : la CNIL réunit les opérateurs et évoque le cas d’Orange

Quelques mois après que le cadre des notifications en cas de fuite de données a été renforcé au niveau européen, et alors que le législateur se prépare à donner de nouveaux pouvoirs à la CNIL en la matière, la fuite de données chez Orange a relancé le débat sur la sécurité des informations des clients, et l'application des procédures en cas de problème. Comme prévu, la commission a donc réunit les différents opérateurs afin d'évoquer avec eux « leurs obligations en matière de violations de données personnelles ».

Le mail envoyé par Orange la semaine dernière

Le timing de la fuite de données chez Orange aura finalement été plutôt mauvais. En effet, outre l'image écornée de l'opérateur sur sa capacité à sécuriser les informations dont il avait la responsabilité, la nouvelle est tombée au moment même où le Sénat adoptait en deuxième lecture le projet de loi sur la Consommation, lequel donne de nouveaux pouvoirs à la CNIL concernant cette problématique. 

Les opérateurs rappelés à l'ordre

Comme nous l'avions alors évoqué dans notre actualité, l'institution avait ainsi décidé de réunir l'ensemble des opérateurs afin de faire le point avec eux. Dans un communiqué daté du 5 février, elle détaille ses intentions : 

« Depuis 2011, l'article 34 bis de la loi du 6 janvier 1978 modifiée impose aux fournisseurs de services de communications électroniques de notifier à la CNIL toute violation de données personnelles et, le cas échéant, d'informer les personnes concernées de l'existence de la violation. Le règlement européen n° 611/2013, entré en vigueur en août 2013, est venu préciser les délais, le contenu et les modalités de ces notifications.

Dès cette date, la CNIL a mis en place une téléprocédure sécurisée pour permettre aux opérateurs de notifier les failles. Constatant que ces dispositions sont mal respectées, la CNIL a réuni les principaux opérateurs le 3 février pour rappeler le cadre légal et réglementaire applicable, expliquer concrètement ce qu'elle attend des opérateurs en cas de violations et présenter les pouvoirs de contrôle et de sanction dont elle dispose. »

Orange a informé la CNIL dès le lendemain de la fuite

La situation d'Orange était donc le parfait cas d'école, l'opérateur ayant bien prévenu ses clients de la fuite deux semaines plus tard, une fois ses procédures internes bouclées. Mais la CNIL tient à préciser les choses étant donné les tournures que prend cette affaire, puisque certains évoquent un manque de communication de l'opérateur. Un point étonnant puisque celui-ci a été assez transparent tant avec les personnes touchées, qu'avec nous lorsque nous sommes allés lui poser des questions. L'autorité administrative indique ainsi qu'Orange l'a tenue informée dès le lendemain et qu'une instruction est en cours. 

Elle appelle aussi les clients touchés à la plus grande prudence. Car, comme nous l'avons déjà évoqué, si les différentes données récoltées n'ont rien de vraiment sensible, elles peuvent être exploitées de manière à en récupérer d'autres bien plus importantes, notamment via des campagnes de phishing par exemple. Il est donc conseillé de se méfier de toute communication demandant des informations personnelles de la part de l'opérateur, et de prendre différentes précautions :

« De manière plus générale, la CNIL invite les clients concernés par le piratage de leurs données à la prudence puisque ces données pourraient être utilisées par exemple à des fins de phishing afin de récupérer des données bancaires complètes ou à des fins d'usurpation d'identité (par exemple pour bénéficier de téléphones neufs ou de services téléphoniques payants facturés sur le compte du client). Il est donc nécessaire d'être très attentif à de telles sollicitations, de ne pas y répondre, de ne pas ouvrir les courriers électroniques suspects et en tout cas de ne cliquer sur aucun lien, et enfin de les signaler à la cellule mise à disposition par ORANGE. Enfin, par précaution, la CNIL conseille aux clients de modifier à partir du site "Orange.fr" leurs données de connexion à l'espace client, et de tenir à jour leur système d'exploitation, leurs applications et leurs logiciels de lutte contre les codes malveillants (antivirus, anti-spyware). »