Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Fuite de données : la CNIL réunit les opérateurs et évoque le cas d'Orange

Rappel à l'ordre

Quelques mois après que le cadre des notifications en cas de fuite de données a été renforcé au niveau européen, et alors que le législateur se prépare à donner de nouveaux pouvoirs à la CNIL en la matière, la fuite de données chez Orange a relancé le débat sur la sécurité des informations des clients, et l'application des procédures en cas de problème. Comme prévu, la commission a donc réunit les différents opérateurs afin d'évoquer avec eux « leurs obligations en matière de violations de données personnelles ».

Mail orange intrusion

Le mail envoyé par Orange la semaine dernière

 

Le timing de la fuite de données chez Orange aura finalement été plutôt mauvais. En effet, outre l'image écornée de l'opérateur sur sa capacité à sécuriser les informations dont il avait la responsabilité, la nouvelle est tombée au moment même où le Sénat adoptait en deuxième lecture le projet de loi sur la Consommation, lequel donne de nouveaux pouvoirs à la CNIL concernant cette problématique. 

Les opérateurs rappelés à l'ordre

Comme nous l'avions alors évoqué dans notre actualité, l'institution avait ainsi décidé de réunir l'ensemble des opérateurs afin de faire le point avec eux. Dans un communiqué daté du 5 février, elle détaille ses intentions : 

 

« Depuis 2011, l'article 34 bis de la loi du 6 janvier 1978 modifiée impose aux fournisseurs de services de communications électroniques de notifier à la CNIL toute violation de données personnelles et, le cas échéant, d'informer les personnes concernées de l'existence de la violation. Le règlement européen n° 611/2013, entré en vigueur en août 2013, est venu préciser les délais, le contenu et les modalités de ces notifications.


Dès cette date, la CNIL a mis en place une téléprocédure sécurisée pour permettre aux opérateurs de notifier les failles. Constatant que ces dispositions sont mal respectées, la CNIL a réuni les principaux opérateurs le 3 février pour rappeler le cadre légal et réglementaire applicable, expliquer concrètement ce qu'elle attend des opérateurs en cas de violations et présenter les pouvoirs de contrôle et de sanction dont elle dispose. »

Orange a informé la CNIL dès le lendemain de la fuite

La situation d'Orange était donc le parfait cas d'école, l'opérateur ayant bien prévenu ses clients de la fuite deux semaines plus tard, une fois ses procédures internes bouclées. Mais la CNIL tient à préciser les choses étant donné les tournures que prend cette affaire, puisque certains évoquent un manque de communication de l'opérateur. Un point étonnant puisque celui-ci a été assez transparent tant avec les personnes touchées, qu'avec nous lorsque nous sommes allés lui poser des questions. L'autorité administrative indique ainsi qu'Orange l'a tenue informée dès le lendemain et qu'une instruction est en cours. 

 

Elle appelle aussi les clients touchés à la plus grande prudence. Car, comme nous l'avons déjà évoqué, si les différentes données récoltées n'ont rien de vraiment sensible, elles peuvent être exploitées de manière à en récupérer d'autres bien plus importantes, notamment via des campagnes de phishing par exemple. Il est donc conseillé de se méfier de toute communication demandant des informations personnelles de la part de l'opérateur, et de prendre différentes précautions :

 

« De manière plus générale, la CNIL invite les clients concernés par le piratage de leurs données à la prudence puisque ces données pourraient être utilisées par exemple à des fins de phishing afin de récupérer des données bancaires complètes ou à des fins d'usurpation d'identité (par exemple pour bénéficier de téléphones neufs ou de services téléphoniques payants facturés sur le compte du client). Il est donc nécessaire d'être très attentif à de telles sollicitations, de ne pas y répondre, de ne pas ouvrir les courriers électroniques suspects et en tout cas de ne cliquer sur aucun lien, et enfin de les signaler à la cellule mise à disposition par ORANGE. Enfin, par précaution, la CNIL conseille aux clients de modifier à partir du site "Orange.fr" leurs données de connexion à l'espace client, et de tenir à jour leur système d'exploitation, leurs applications et leurs logiciels de lutte contre les codes malveillants (antivirus, anti-spyware). »

6 commentaires
Avatar de the_Grim_Reaper INpactien
Avatar de the_Grim_Reaperthe_Grim_Reaper- 06/02/14 à 08:15:56

Pour le coup, le manque de com aurait pu couter cher à Orange :mdr:

Je me demande si les autres vont être aussi prompt a déclarer à la CNIL leurs soucis d'intrusion par contre.

Avatar de FunnyD INpactien
Avatar de FunnyDFunnyD- 06/02/14 à 08:20:53

Arnaud M. a écrit :

Mais c'est qui cette CNIL, qu'est ce qu'elle vient embêter des opérateurs déja embourbés dans les tracasseries administratives!!! La CNIL est elle élue?? NON, et moi? OUI, donc je dis stop à la CNIL!

:transpi:

l'article a écrit :

Car, comme nous l'avons déjà évoqué, si les différentes données récoltées n'ont rien de vraiment sensible, elles peuvent être exploitées de manière à en récupérer d'autres bien plus importantes, notamment via des campagnes de phishing par exemple.

En gros, si on a une adresse orange mais qu'on ne la consulte jamais, on ne risque rien? :transpi:

Avatar de Butler5 INpactien
Avatar de Butler5Butler5- 06/02/14 à 10:53:36

FunnyD a écrit :

:transpi:

En gros, si on a une adresse orange mais qu'on ne la consulte jamais, on ne risque rien? :transpi:

On à une adresse Orange ? :transpi:

Avatar de matroska INpactien
Avatar de matroskamatroska- 06/02/14 à 14:17:10

Cher client(e)

Orange vous informe que vous allez devoir changer d'adresse, de pays, et de nationalité car des pirates mal intentionnés ont toutes vos informations.

Nous sommes désolés de la gêne occasionnée.

:transpi:

Édité par Matroska le 06/02/2014 à 14:18
Avatar de Geolim4 INpactien
Avatar de Geolim4Geolim4- 06/02/14 à 15:30:01

Wala encore une bonne raison qui m'a poussé à filer chez OVH en quatrième vitesse :transpi:

Avatar de unCaillou INpactien
Avatar de unCaillouunCaillou- 06/02/14 à 20:14:22

"toute violation de données personnelles"
Les données personnelles peuvent se faire violer ? :eeek2:
"les clients touchés" --> ha bon bah si y a juste attouchement ça va...

:humour:

Édité par unCaillou le 06/02/2014 à 20:16
Il n'est plus possible de commenter cette actualité.