Orange se fait rappeler à l’ordre par la CNIL (Commission nationale de l’informatique et des libertés). C’est une des suites de la faille de sécurité concernant les données de plus d’un million de clients remontant à avril 2014 dans le cadre de campagnes marketing.
Absence d’audit de sécurité
La CNIL pointe qu’Orange n’a pas fait réaliser d’audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure lui aurait permis d’identifier la faille de sécurité.
De plus, la CNIL retient qu’Orange a envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et qu’aucune clause de sécurité et de confidentialité des données n’avait été imposée à son prestataire.
Article 34 de la loi
Dès lors, la CNIL considère qu’Orange a manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévu par l’article 34 de la loi » Informatique et Libertés » et a prononcé à son encontre un avertissement public.
En avril 2014, Orange avait notifié à la CNIL – comme la loi lui en fait l’obligation – une violation de données personnelles, liée à une défaillance technique d’un prestataire, ayant concerné les données de près de 1,3 million de clients dans le cadre de campagnes marketing.
Cela concernait les nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile des clients. Résultat, la CNIL a effectué un contrôle au sein d’Orange et de ses prestataires intervenant dans le cadre de ses campagnes d’emailing promotionnel.
Des lacunes de sécurité
Au final, la commission a donc identifié des lacunes de sécurité même si les dysfonctionnements qui avaient engendré la faille de sécurité avaient été corrigés.. L’opérateur télécoms se voit affublé d’un avertissement public de la CNIL. Orange affirme pour sa part avoir pris toutes mesures utiles afin de respecter son obligation de sécurité des données.
