La CNIL sanctionne Orange « pour défaut de sécurité des données »

Suite au second vol de données dont avait été victime Orange, la CNIL vient de rendre son verdict : elle sanctionne Orange  « pour défaut de sécurité des données dans le cadre de campagnes marketing ». Du coup, l'opérateur écope d'un « un avertissement public ». 

En mai dernier, Orange annonçait s'être fait dérober des données personnelles, pour la seconde fois en l'espace de trois mois. L'opérateur avait alors détecté « un accès illégitime sur une plateforme technique d'envoi de courriers électroniques et de SMS qu'elle utilise pour ses campagnes commerciales ». Résultat, 1,3 million de clients touchés. Comme il est stipulé dans l'article 38 de l'ordonnance n° 2011-1012 du 24 août 2011, Orange avait alors informé la CNIL de cette intrusion, un point qui a d'ailleurs récemment été confirmé par le gouvernement.

Afin de savoir ce qu'il s'est exactement passé, la Commission Nationale de l'Informatique et des Libertés (CNIL) a ouvert une enquête en procédant à des contrôles auprès d'Orange et de ses divers sous-traitants impliqués :

« La délégation de contrôle a constaté que les dysfonctionnements ayant engendré la faille de sécurité avaient été corrigés. Toutefois, plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l'engagement d'une procédure de sanction. 

Devant la formation restreinte, la société soutenait avoir pris toutes mesures utiles afin de respecter son obligation de sécurité des données.

La formation restreinte a toutefois retenu que la société n'a pas fait réaliser d'audit de sécurité avant d'utiliser la solution technique de son prestataire pour l'envoi de campagnes d'emailing alors que cette mesure lui aurait permis d'identifier la faille de sécurité. Elle a également retenu que la société a envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et qu'aucune clause de sécurité et de confidentialité des données n'avait été imposée à son prestataire. »

Elle conclut que « la société a manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévu par l'article 34 de la loi "Informatique et Libertés" et a prononcé à son encontre un avertissement public ». Trois points ont donc été retenus par la Commission : pas d'audit de sécurité, des données transférées de manière non sécurisée et le manque de clause de sécurité et de confidentialité.

Le détail complet du compte rendu se trouve par ici. On y apprend notamment qu'Orange a été informée de la faille par l'un de ses clients : « un lien de désinscription figurant sur un courriel de prospection permettait, par une modification de l'adresse URL, d'accéder à un serveur du prestataire secondaire contenant 700 fichiers relatifs aux clients et prospects de la société Orange. Ces fichiers ont été « aspirés » les 4 et 5 mars 2014 depuis une adresse IP non identifiée justifiant un dépôt de plainte de la société sur le plan pénal ».

On se souviendra que Stéphane Richard, son PDG, s'était engagé sur la confidentialité des données de ses clients. Quoi qu'il en soit, Orange dispose d'un délai de deux mois pour déposer un recours devant le Conseil d'État.

Aucune sanction supplémentaire n'est annoncée par la CNIL, mais on aimerait que l'institution se penche également sur les intrusions et vols de données de tout type de société et pas uniquement celles des opérateurs. Des travaux sont en cours au niveau national et Européen (avec le G29), mais pour le moment rien de vraiment concret n'a été annoncé.