Le conseil restreint de la Cnil a prononcé un avertissement à l'encontre d’Orange suite à des lacunes de sécurité observées chez l’opérateur. Elle vient aujourd’hui même de le rendre public.
C’est à la suite d’une violation de données personnelles ayant concerné près de 1,3 millions de clients en avril dernier que la Cnil a décidé d’enquêter. Elle a procédé « à des contrôles auprès de la société et des sous-traitants intervenant dans le cadre de ses campagnes d'emailing promotionnel.» Si tout semblait avoir été corrigé, la Commission n’en a pas moins constaté « des lacunes en termes de sécurité des données » et a donc engagé une procédure de sanction. Nous vous l’annoncions début mai, cette attaque faisait suite à celle du mois de février dernier qui avait déjà touché 800 000 clients d’Orange. Elle visait une plate-forme technique d'envoi de courriers électroniques et de SMS utilisée pour les campagnes commerciales de l’opérateur. Une attaque permettant aux hackers de récupérer des informations personnelles (nom et prénom, adresse mail, numéro de téléphone, date de naissance) et de mettre en place ensuite des arnaques de type phishing.
Quelles lacunes ont été constatées ?
D’abord, la Cnil remarque qu’Orange n’avait pas fait réaliser d'audit de sécurité avant d'utiliser la solution technique de son prestataire pour l'envoi de campagnes d'emailing. Ensuite, elle lui reproche l’envoi non sécurisé à ses prestataires des mises à jour de ses fichiers clients et met l’accent sur le fait qu'aucune clause de sécurité et de confidentialité des données n'avait été imposée au prestataire. Ainsi, pour la Cnil, « la société a manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévu par l'article 34 de la loi ” Informatique et Libertés “ »
La défense d’Orange
Il est intéressant de noter qu’Orange, pour sa défense, a soutenu que la faille sécurité était due aux risques inhérents à une chaîne de sous-traitance. La Cnil retorque qu’en sa qualité de responsable de traitements, l’opérateur « ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires. ». L’opérateur a également argumenté que les données violées étaient selon lui « peu qualifiantes et limitées au regard du volume global des données traitées ». La Commission a retenu, elle, que ces données étaient « identifiantes », concernaient plus d’un million de clients et qu’il était établi qu’un tiers non autorisé y avait « effectivement accédé ».
Pour lire la délibération dans son intégralité.