Données de clients volées : Orange "puni" par la Cnil

  • A
  • A
Données de clients volées : Orange "puni" par la Cnil
@ maxppp
Partagez sur :

SANCTION - La Cnil a décidé de sanctionner l'opérateur téléphonique Orange suite aux vols de données qui avait touché 1,3 million d'abonnés en avril.

En avril, 1,3 million d'abonnés avaient été victimes d'un vol de données par des hackers. Suite à une enquête, la Commission nationale de l'informatique et des libertés (Cnil) a prononcé à l'encontre d'Orange un "avertissement public", sans sanction financière. L'opérateur a manqué "à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients, prévues par la loi "Informatique et Libertés".

>> LIRE AUSSI - Piratage chez Orange : 1,3 million de personnes touchées

"Des lacunes en termes de sécurité". Suite à l'incident d'avril, la Cnil a décidé d'enquêter sur Orange. Elle a alors constaté que "des lacunes de sécurité ont été identifiées auprès de la société et des sous-traitants intervenant dans la cadre de ses campagnes d'emailing promotionnel". 

L'absence d'un audit de sécurité. Certes, la Cnil reconnaît que "les dysfonctionnements ayant engendré la faille de sécurité avaient été corrigés". Mais "plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l'engagement d'une procédure de sanction". Pourtant, Orange soutenait "avoir pris toutes mesures utiles afin de respecter son obligation de sécurité des données".

Plus précisément, le premier reproche de la Cnil est une absence d'"audit de sécurité avant d'utiliser la solution technique de son prestataire pour l'envoi de campagnes d'emailing alors que cette mesure lui aurait permis d'identifier la faille de sécurité".

Rappel des faits. Le 18 avril, 1,3 million de personnes s'étaient fait voler leurs données personnelles comprenant les noms, prénoms, l'adresse mail, les numéros de téléphone, l'opérateur mobile et internet et la date de naissance. La faille de sécurité était située dans un mail de prospection duquel par une modification de l'adresse URL, il était possible d'accéder aux fichiers des clients. Les données ont alors été "aspirées" par une adresse IP non identifiée. 

Le 2 février, Orange avait déjà été victime d'un vol de données qui avait touché 800.000 clients, à partir cette fois-ci de l'"Espace Client" du site Orange.fr.

>> LIRE AUSSI - Piratage chez Orange : que vont devenir les données volées ?