L’arrêt nous avait échappé, mais voilà quelques semaines, le Conseil d’État a finalement rejeté le recours d’Orange visant une mise en demeure de la CNIL, sur fond de faille de sécurité.
Souvenez-vous : en 2014, la CNIL avait considéré que le FAI avait « manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients » . L’opérateur écopait d’un bruyant avertissement public, l’une des sanctions disponibles dans la besace de la loi de 1978.
La Commission avait expliqué l’origine du problème : « un lien de désinscription figurant sur un courriel de prospection permettait, par une modification de l'adresse URL, d'accéder à un serveur du prestataire secondaire contenant 700 fichiers relatifs aux clients et prospects de la société Orange. Ces fichiers ont été « aspirés » les 4 et 5 mars 2014 depuis une adresse IP non identifiée justifiant un dépôt de plainte de la société sur le plan pénal ». Orange nous indiquait qu’au total, moins de 3 % de ses clients avaient été concernés, « dont leurs nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile » précisait la CNIL.
En octobre 2014, l’opérateur contrattaquait cette décision administrative devant le Conseil d’État. En vain : celui-ci a rejeté sa demande, le 30 décembre dernier, non sans fournir et confirmer de précieux détails : « une intrusion illicite sur le serveur d'une société sous-traitante de la société Gutenberg, prestataire de services de la société Orange, a permis d'accéder aux données à caractère personnel de 1,3 million de clients et prospects de cette dernière ».
La contrattaque d'Orange repoussée par le Conseil d’État
Orange avait jugé cette sanction d’avertissement comme irrégulièrement prise. Une analyse non partagée par les juges. Autre chose, l’obligation pesant sur les FAI d’informer les abonnées d’une faille de sécurité, inscrite dans la loi de 1978, violerait selon l’entreprise « le droit de ne pas contribuer à sa propre incrimination ». Hypothèse également repoussée : ces dispositions « n'ont ni pour objet ni pour effet de leur imposer de révéler des manquements qui leur seraient imputables. »
Enfin, le Conseil d’État a considéré qu’Orange était bien responsable de cette faille, peu importe que les traitements de données aient été réalisés par le sous-traitant de son sous-traitant. En effet, une telle circonstance « ne décharge pas le responsable du traitement de la responsabilité qui lui incombe de préserver la sécurité des données, sans que soit ainsi méconnu le principe constitutionnel de responsabilité personnelle, dès lors que ces sous-traitants agissent (…) sur instruction du responsable de traitement. »
Audit, sécurisation, obligations
Orange aurait donc dû prendre des mesures nécessaires, spécialement réaliser un audit de sécurité « sur l'application qui avait été spécialement définie pour la prospection commerciale de ses clients », qui n’a pas été fait. Mieux, le FAI « avait utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel et n'avait pas veillé à ce que les consignes de sécurité prévues contractuellement avec Gutenberg [son sous-traitant au premier degré, ndlr] soient portées à la connaissance du prestataire secondaire. »
Avant de rejeter cette requête, les juges ont enfin considéré la sanction - un simple avertissement - parfaitement proportionnée.
