Faille de sécurité : la Cnil adresse un carton jaune à Orange

L'autorité chargée de la protection des données personnelles publie un avertissement sans conséquences à l'encontre d'Orange. La Cnil critique l'opérateur pour avoir permis à des pirates de faire la copie des données personnelles concernant 1,3 million de clients.

La Cnil adresse un avertissement, sans sanction financière, à l'encontre d'Orange. L'autorité indique qu'en avril dernier, l'opérateur avait permis d'avoir accès aux noms, prénoms, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile de 1,3 million de clients.

Pour Orange, la plateforme visée servait en particulier pour ses campagnes commerciales, notamment pour l'envoi de courriers électroniques et de SMS. Après que la société a admis ces dysfonctionnements, la Cnil a mené une enquête auprès de l'opérateur. Elle livre désormais ses conclusions.

Elle estime que les dysfonctionnements ayant engendré la faille de sécurité ont certes depuis été corrigés. « Toutefois, plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l'engagement d'une procédure de sanction », précise-t-elle. La Cnil reproche par exemple à Orange de n'avoir pas fait réaliser d'audit de sécurité avant d'utiliser la plateforme technique de son prestataire.

Second point à la charge d'Orange, l'organisme rapporte dans une note que la société a envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et « qu'aucune clause de sécurité et de confidentialité des données n'avait été imposée à son prestataire ». La sécurité des données n'était donc pas assurée dans l'ensemble de la chaîne, ce que reproche la Cnil en émettant cet avis à l'encontre d'Orange.



Pour en savoir plus

• Données Orange : comment éviter d'être victime de phishing ?
• J'ai testé pour vous : l'arnaque sur Internet