En avril 2014, Orange notifiait à la CNIL (Commission Nationale de l’Informatique et des Libertés), comme l’oblige la loi, une violation de données personnelles, liée à une défaillance technique de l’un de ses prestataires.
Elle concernait les données personnelles de 1,3 million de clients dont leurs nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile.
La CNIL avait alors procédé à des contrôles auprès de la société et de ses sous-traitants marketings. Si les dysfonctionnements ayant engendré la faille de sécurité avaient été corrigés, plusieurs lacunes en termes de sécurité des données étaient identifiées et justifiaient l’engagement d’une procédure de sanction.
Orange n’avait pas fait réaliser d’audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure lui aurait permis d’identifier la faille de sécurité. Elle envoyait de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients. Aucune clause de sécurité et de confidentialité des données n’avait été imposée à son prestataire.
Orange a donc manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévu par l’article 34 de la loi » Informatique et Libertés « .
La sanction est des plus légères, puisqu’il s’agit simplement d’un avertissement public, et l’on peut craindre son manque de portée.
Orange se défend en rappelant qu’elle n’est pas la seule à être piratée.
On peut néanmoins être troublé par la régularité à laquelle le premier réseau de télécommunications fixes et mobiles de la France est piraté, malgré les déclarations solennelles, et les engagements sur la protection des données, de son PDG Stéphane Richard, lors de l’événement « Hello » en novembre 2013.
En février déjà, 800 000 clients étaient victimes de vols de données.
NB. Pour approfondir, il est possible de télécharger sous forme de fichier PDF le scan, opéré à la va vite, et de travers, par la CNIL, de la Délibération de la formation restreinte n°2014-298 du 7 août 2014 prononçant un avertissement à l’encontre de la société ORANGE.