C'est visiblement la première faille survenue en Belgique depuis l'entrée en vigueur du RGPD le 25 mai 2018. Et cette dernière est justement apparue peu après son instauration. Si les autorités compétentes en ont rapidement été informées, les clients belges Orange concernés, eux, ont seulement été mis au courant en fin de semaine dernière.
Une erreur humaine à l'origine de la faille
A la fin du mois de mai, comme le rapporte le site Techzine, Orange a subi une importante faille sécuritaire en Belgique. L'opérateur a indiqué que les données personnelles de 15 000 de ses clients ont été exposées. Si les plus sensibles, comme les numéros de cartes de crédit ou les détails de facture n'ont pas été touchées, d'autres données, comme le nom, prénom, l'adresse postale, l'adresse e-mail, le numéro de carte d'identité, le numéro de mobile ou le numéro de compte bancaire, ont été dévoilées.La porte-parole d'Orange, Annelore Marynissen, a reconnu que les données avaient « fini sur un serveur de test », avec pour cause « l'erreur humaine d'un sous-traitant. »
Orange, dans les clous du RGPD
A la moindre violation de données à caractère personnel, l'article 33 du règlement général sur la protection des données impose la notification à l'autorité de contrôle compétente, dans les 72 heures suivant ladite violation. Sur ce plan, Orange n'a pas failli en réagissant immédiatement.Mais alors, pourquoi la firme a-t-elle choisi de communiquer si tardivement, deux semaines après les faits ? Elle a directement répondu sur son compte Twitter officiel : « Nos experts avaient besoin de temps pour enquêter et confirmer la brèche. Dès que nous avons reçu tous les détails, nous avons informé les clients touchés et pris toutes les mesures nécessaires. »
Our experts needed the time to investigate and confirm the breach. As soon as we received all details we informed the impacted customers and took all necessary actions. ^MB
— Orange België (@OrangeBENL) 14 juin 2018
En attendant, si le règlement de l'Union européenne a été respecté, la menace n'est pas encore complètement écartée, et Orange invite ses usagers belges à être « très prudents, notamment en cas de demandes de paiement suspectes ou de communication d'un mot de passe ou d'un numéro de carte de crédit. »