La Commission nationale de l’informatique et des libertés a lancé un avertissement 'public' à Orange pour « défaut de sécurité des données ».
Orange est dans le collimateur de la CNIL (Commission nationale de l’informatique et des libertés). L'avertissement est la sanction suite au vol des données personnelles de 1,3 million de clients et prospects de l'opérateur historique, en mars dernier. Les nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile des clients d'Orange sont partis dans la nature.
C'est une sanction qui semble bien dérisoire au vu de la gravité des faits. Pour sa légèreté dans le traitement de ses fichiers, Orange a été condamné à...un avertissement public ! La CNIL aurait pris en compte son obligation – légale - d'avertissement de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) et des clients victimes, et aurait réparé la faille, ce qui lui aurait permis d'éviter une mie en demeure.
Orange a manqué à ses obligations
Pour la CNIL, l'opérateur a manqué à ses obligations « d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients ».
Dans son procès-verbal, la CNIL a mis en cause un prestataire sous-traitant d'Orange sur les courriels de prospection. Le serveur de ce dernier contenait 700 fichiers clients et prospects d'Orange, expédiés par l'opérateur par « simple courriel et sans mesure de sécurité particulière », ce qui aurait permis l'aspiration des fichiers « le 4 et 5 mars depuis une adresse IP non identifiée », et cela à partir d'un lien de désinscription figurant sur un courriel.
La CNIL a donc pointé trois défauts dans la cuirasse bien fragile d'Orange :
- L'absence d’audit de sécurité sur la solution technique de son prestataire pour l'envoi de campagnes d'emailing.
- L'expédition de manière non sécurisée à ses prestataires des mises à jour des fichiers clients .
- L'absence de clause de sécurité et de confidentialité des données imposée à son prestataire.
La mémoire courte...
Dans son rendu, la CNIL semble avoir oublié deux faits. Tout d'abord, le vol massif de 1,3 million de données privées de clients et prospects de l'opérateur est en réalité le second d'une telle ampleur. Orange en effet s'est fait dérober les données de 800.000 clients en février. Il n'y a peut-être pas de lien entre les deux affaires, mais cela fait quand même beaucoup ! Ensuite, Orange n'a notifié la CNIL du vol que le 25 avril, soit presque deux mois après l'affaire. C'est bien long pour le respect d'une obligation légale !
Pour sa défense, Orange rappelle que le piratage est un fléau contre lequel personne n'est à l'abri, et qu'il est difficile de suivre un nombre important de sous-traitants. Deux arguments que Florence Fourets, Directrice de la protection des droits et des sanctions à la CNIL, a taclé sans indulgence : « La sécurité des données n’est pas liée au nombre de sous-traitants. (...) Une société qui fait appel à un tiers doit signer un contrat avec lui comportant des clauses de sécurité et de confidentialité des données. (..) Orange aurait été un bon élève s’il avait tout mis en œuvre pour éviter les dysfonctionnements, mais il ne l’a pas fait ».
Si la sanction semble disproportionnée par rapport à la gravité des faits, la CNIL lance un avertissement aux organisations. Certes, la menace est réelle, mais cela ne doit pas les empêcher d'adopter les mesures nécessaires pour sécuriser les données de leur clients, ni d'accompagner les prestations de l'environnement juridique nécessaire à l'information et la sensibilisation de leurs prestataires.