La Commission nationale de l’informatique et des libertés (Cnil) a lancé un avertissement à l’opérateur Orange après une faille de sécurité qui a touché les données personnelles de 1,3 million de clients en avril. L’autorité de protection des données estime que la société «a manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients» lors de cet incident, selon un communiqué mardi. Elle a décidé de rendre public son avertissement sans toutefois aller jusqu’à prononcer une sanction financière. Il s’agit du premier avertissement de ce type prononcé contre un opérateur, a précisé mardi la Cnil, rappelant que la société de livraison express DHL avait été aussi sanctionnée en juin 2014 pour des «fuites de données clients». La confidentialité des nom, prénom, adresse électronique, numéro de téléphone fixe et mobile des clients d’Orange avait été violée après une défaillance technique de l’un des prestataires d’Orange. L’opérateur avait indiqué avoir détecté le 18 avril cette faille, qui fait suite à un vol de données de quelque 800.000 de ses clients internet en février. La Cnil, notifiée de l’incident, a effectué des contrôles auprès d’Orange et de ses sous-traitants sollicités dans le cadre de campagnes d’emails promotionnels. Elle a constaté que les dysfonctionnements ont été corrigés mais que «plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l’engagement d’une procédure de sanctions». Orange n’avait notamment pas fait d’audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de cette campagne d’emailing, et il avait envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients, relève la Cnil. Orange a déclaré «prendre acte» de cet avertissement.
