Condamnée au pilori. En avril dernier, Orange avait alerté ses abonnés d’une nouvelle intrusion dans ses fichiers clients, qui a concerné les noms, prénoms, dates de naissance, adresse e-mail et numéros de téléphones de 1,3 millions de clients et prospects. C’était la deuxième fois de l’année que l’opérateur historique était ainsi victime d’un piratage de données confidentielles de ses abonnées, alors-même que Stéphane Richard avait fait de la sécurité un engagement prioritaire du groupe.
Quatre mois plus tard, la CNIL annonce qu’elle a jugé Orange responsable des fuites, issues d’une prestation d’e-mailing par un sous-traitant de sous-traitant. « Le lien de désinscription figurant sur un courriel de prospection permettait, par une modification de l’adresse URL, d’accéder à un serveur du prestataire secondaire contenant 700 fichiers relatifs aux clients et prospects de la société ORANGE« , peut-on lire dans la délibération (.pdf) rendue publique ce lundi, mais adoptée le 7 août dernier. « Ces fichiers ont été « aspirés » les 4 et 5 mars 2014 depuis une adresse IP non identifiée« .
Aucun audit de sécurité
Or, relève la CNIL, « l’application technique permettant la réalisation de campagnes de prospection avait été spécifiquement adaptée par le prestataire secondaire pour répondre aux besoins de la société ORANGE« , et « cette nouvelle version de l’application avait été mise en production en novembre 2013 sans qu’aucun audit de sécurité n’ait été préalablement réalisé« .
Par ailleurs, il a été établi qu’Orange communiquait ses fichiers clients avec ses sous-traitants « par simple courriel et sans mesure de sécurité particulière« , et qu’elle n’avait pas suffisamment bien cadré juridiquement la sécurisation des données avec le « prestataire secondaire ».
Aussi, la CNIL juge qu’Orange a « manqué à son obligation de sécurité » à l’égard des données personnelles des clients. Le groupe « ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires », rappelle la Commission.
Généreuse, la CNIL retient toute de même qu’Orange a « remédié dans des délais satisfaisants aux faiblesses techniques« , et qu’elle a « démontré pour l’avenir une meilleure prise en compte des problématiques de confidentialité des données« . Une circonstance atténuante retenue après avoir constaté qu’il est « établi qu’un tiers non autorisé a effectivement accédé » aux données qui « concernent plus d’un million de clients« .
En guise de seule sanction, la CNIL a décidé de rendre cette décision publique. C’est tout. Mais ce manque d’autorité de l’autorité est une habitude.
https://youtube.com/watch?v=fg_2YP0oH9U
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.