Le Conseil d’Etat a confirmé le 30 décembre 2015 la délibération de la CNIL (Commission Nationale de l’Informatique et des Libertés) du 7 août 2014 sanctionnant Orange. La CNIL reprochait à Orange de ne pas s’être assuré des mesures de sécurité prises par ses sous-traitants pour protéger les données personnelles confiées.
L’intrusion dans le système informatique d’Orange, détectée le 18 avril 2014, a touché plus d’1.3 millions de clients et prospects. Des données telles que leurs noms et prénoms et, lorsqu’ils étaient renseignés, les adresses mail, les numéros de téléphone fixe et mobile, l’opérateur mobile et internet et la date de naissance ont été volées (voir article : Vol de données chez ORANGE : les clients peuvent voir rouge !).
Orange avait alors déclaré cette attaque à la CNIL comme la loi le lui impose. En effet, l’article 34 bis de la Loi Informatique et Libertés impose que toute faille ou attaque informatique touchant des traitements de données à caractère personnel doit être déclaré dans les 24 heures de l’existence de l’attaque, avec la possibilité d’effectuer une notification plus détaillée dans les 72h.
Suite à la mission de contrôle diligentée par la CNIL à cette occasion auprès d’Orange et de ses sous-traitants, plusieurs manquements ont été mis à jour en termes de sécurité des données notamment :
- L’Absence d’audit de sécurité avant utilisation de la solution technique du prestataire pour l’envoi de campagnes d’emailing (mesure qui selon la CNIL aurait permis à Orange d’identifier la faille de sécurité).
- L’envoi de manière non sécurisée aux prestataires des mises à jour des fichiers clients.
Malgré le fait qu’Orange ait introduit une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants, Orange n’est pas dispensé de prendre des mesures positives destinées à assurer lui-même que la sécurité de ses données soit préservée.
Sur la justification de la sanction émise par la CNIL à l’encontre d’Orange, le Conseil d’Etat rappelle qu’« il résulte de l’article 34 de la loi du 6 janvier 1978 que la circonstance des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable du traitement de la responsabilité qui lui incombe de préserver la sécurité des données ».
Sur la sanction, le Conseil d’Etat a considéré « d’une part, que l’avertissement prononcé par la délibération attaquée est proportionné à la nature et à la gravité des manquements constatés, alors même qu’il n’en est résulté qu’une atteinte à des données identifiantes non sensibles ; d’autre part, qu’eu égard à la nature des violations constatées et aux moyens humains et financiers dont disposait la société Orange pour les prévenir, la formation restreinte a pu à bon droit décider, en application du deuxième alinéa de l’article 46 de la loi du 6 janvier 1978, à titre de sanction complémentaire, que l’avertissement prononcé serait rendu public ».
En matière de données, la sécurisation et le renforcement de la confiance des utilisateurs dans les outils digitaux sont au cœur des préoccupations du droit. Le Cabinet HAAS Avocats, labellisé CNIL, accompagne ses clients dans la mise en œuvre concrète de la loi et les conséquences juridiques du recours à l’informatique dans votre secteur d’activité. Pour plus de renseignements, contactez-nous ici.
- Cloud : Déplacement et localisation physique des données à caractère personnel hors d’Europe
- Le projet de « paquet » européen en matière de protection des données personnelles
- La CNIL met en demeure 13 sites de rencontre
- Le fichier STADE suspendu par le Conseil d’Etat
- Les Cyberattaques, armes contre la liberté d’expression