La CNIL a organisé en début de semaine une rencontre avec les fournisseurs d'accès à Internet, afin de leur rappeler certaines dispositions législatives qu'ils sont tenus de respecter en cas de piratage informatique. Cette réunion fait suite au piratage des bases de données d'Orange, qui a compromis les données de 800 000 clients.

La semaine dernière, Orange a annoncé qu'une attaque informatique survenue à la mi-janvier avait affecté ses bases de données et permis aux assaillants de dérober un "nombre limitée de données personnelles", selon les termes du communiqué publié par l'opérateur. Toutefois, il est apparu que l'intrusion a touché un nombre très élevé de clients, estimé aujourd'hui à 800 000.

Après examen, Orange a fait savoir qu'aucune donnée bancaire sensible ni aucun mot de passe n'a été compromis. En revanche, des informations relatives au titulaire du compte ou au foyer ont bien été récupérées au cours du piratage, ainsi qu'une version expurgée (donc inexploitable) du relevé d'identité bancaire (RIB). Devant la gravité de l'incident, l'opérateur a porté plainte et l'enquête a été confiée à la DCRI.

Suite à cet épisode, la CNIL est intervenue en organisant le 3 février dernier une réunion avec les principaux opérateurs de communications électroniques afin de "leur rappeler leurs obligations en matière de violations de données personnelle". Car si l'attitude d'Orange dans cette affaire a été bonne, la société ayant notifié la CNIL dès le lendemain de l'affaire, d'autres font preuve d'une négligence inadmissible.

La législation (l'article 34 bis de la loi du 6 janvier 1978 modifiée et le règlement européen n° 611/2013) impose en effet aux opérateurs "de notifier à la Commission nationale de l'informatique et des libertés toute violation de données personnelles et, le cas échéant, d'informer les personnes concernées de l'existence de la violation". Une télé-procédure sécurisée a d'ailleurs été mise en place pour faciliter cette démarche.

Concernant le cas spécifique d'Orange, la CNIL indique que le dossier est "en cours d'instruction" par ses services. Au passage, l'autorité administrative invite les clients de l'opérateur historique à faire preuve d'une vigilance particulière face à toute sollicitation suspecte demandant de fournir des informations personnelles. Il ne faut absolument pas y donner suite.

visuel_fibre_adsl2

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !