CNIL : délibération de la formation restreinte n°2014-298 du 7 août 2014 prononçant un avertissement à l’encontre de la société ORANGE

Orange a notifié en avril 2014 à la CNIL une violation de données personnelles, liée à une défaillance technique du serveur de l’un de ses prestataires chargé de réaliser des campagnes de marketing direct.  Ceci a donné lieu à une fuite de données de près de 1,3 million de clients (nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile).

La CNIL a procédé à une investigation auprès d’Orange et de ses prestataires qui a révélé plusieurs manquement à l’obligation de sécurité et de confidentialité, à savoir l’article 34 de la Loi Informatique et Libertés qui prévoit « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Il est reproché à Orange

  • De ne pas avoir audité avant sa mise en service la sécurité d’une application technique permettant la réalisation des campagnes et spécialement adapté aux besoins d’Orange « alors que cette mesure lui aurait permis d’identifier la faille de sécurité »[1] .
  • D’avoir « envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients »[2] et
  • Bien qu’ayant « encadré contractuellement ses relations » avec son prestataire direct de ne pas avoir « veillé à ce que les obligations en matière de sécurité et de confidentialité des données soient répercutées au prestataire secondaire alors même qu’elle connaissait le périmètre d’intervention de ce dernier » [3]

Bien qu’Orange ait remédié aux manquements, la CNIL a décidé de prononcer un avertissement et de le rendre public « compte tenu des défaillances […] alors [que Orange] dispose des ressources financières et humaines nécessaires lui permettant la prise en charge de telle problématiques… »[4]

Cette décision ne doit bien entendu pas décourager les sociétés de notifier une violation de données personnelles (la presse s’était par ailleurs largement fait l’écho de l’incident) mais plutôt les inciter à intégrer d’avantage les contraintes de protection des données personnelles. N’hésitez pas à nous consulter.

Contact : stephanie.faber@squirepb.com

Sur le même sujet, Stéphanie Faber donne son point de vue à Data Guidance. A lire en anglais : www.dataguidance.com/dataguidance_privacy_this_week


[1] Voir l’article de la CNIL du 25 aout 2014 sur son site web : www.cnil.fr/linstitution/actualite/article/article/la-societe-orange-sanctionnee-pour-defaut-de-securite-des-donnees-dans-le-cadre-de-campagnes/ [2] Texte de la décision : www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/D2014-298_avertissement_ORANGE.pdf [3] idem [4] idem