 |
| érateur Orange, décembre 2012 (Photo : Eric Piermont) |
[26/08/2014 10:47:45] Paris (AFP) La Commission nationale de l’informatique et des libertés (Cnil) a lancé un avertissement à l’opérateur Orange après une faille de sécurité qui a touché les données personnelles de 1,3 million de clients en avril.
L’autorité de protection des données estime que la société “a manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients” lors de cet incident, selon un communiqué. Elle a décidé de rendre public son avertissement sans toutefois aller jusqu’à prononcer une sanction financière.
Il s’agit du premier avertissement de ce type prononcé contre un opérateur, a précisé mardi la Cnil à l’AFP, rappelant que la société de livraison express DHL avait été aussi sanctionnée en juin 2014 pour des “fuites de données clients”.
La confidentialité des noms, prénoms, adresses électroniques, numéros de téléphone fixes et mobiles des clients d’Orange avait été violée après une défaillance technique de l’un des prestataires d’Orange. L’opérateur avait dit avoir détecté le 18 avril cette faille, qui fait suite à un vol de données de quelque 800.000 de ses clients internet en février.
La Cnil, notifiée de l’incident, a effectué des contrôles auprès d’Orange et de ses sous-traitants sollicités dans le cadre de campagnes d’emails promotionnels. Elle a constaté que les dysfonctionnements ont été corrigés mais que “plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l’engagement d’une procédure de sanctions”.
Orange n’avait notamment pas fait d’audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de cette campagne d’emailing, et il avait envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients, relève la Cnil.
Orange a déclaré “prendre acte” de cet avertissement.
“Les faits mentionnés remontent à avril dernier et l’entreprise a immédiatement pris toutes les dispositions nécessaires pour sécuriser les accès et informer l’ensemble des personnes concernées ainsi que les institutions compétentes”, a indiqué le groupe.
Par ailleurs “dans un contexte mondial sensible concernant cette question, Orange s’engage sur une politique de mise en oeuvre de sécurité des données depuis des années”, souligne-t-il.
