La CNIL a organisé en début de semaine une rencontre avec les fournisseurs d'accès à Internet, afin de leur rappeler certaines dispositions législatives qu'ils sont tenus de respecter en cas de piratage informatique. Cette réunion fait suite au piratage des bases de données d'Orange, qui a compromis les données de 800 000 clients.

La semaine dernière, Orange a annoncé qu'une attaque informatique survenue à la mi-janvier avait affecté ses bases de données et permis aux assaillants de dérober un "nombre limitée de données personnelles", selon les termes du communiqué publié par l'opérateur. Toutefois, il est apparu que l'intrusion a touché un nombre très élevé de clients, estimé aujourd'hui à 800 000.

Après examen, Orange a fait savoir qu'aucune donnée bancaire sensible ni aucun mot de passe n'a été compromis. En revanche, des informations relatives au titulaire du compte ou au foyer ont bien été récupérées au cours du piratage, ainsi qu'une version expurgée (donc inexploitable) du relevé d'identité bancaire (RIB). Devant la gravité de l'incident, l'opérateur a porté plainte et l'enquête a été confiée à la DCRI.

Suite à cet épisode, la CNIL est intervenue en organisant le 3 février dernier une réunion avec les principaux opérateurs de communications électroniques afin de "leur rappeler leurs obligations en matière de violations de données personnelle". Car si l'attitude d'Orange dans cette affaire a été bonne, la société ayant notifié la CNIL dès le lendemain de l'affaire, d'autres font preuve d'une négligence inadmissible.

La législation (l'article 34 bis de la loi du 6 janvier 1978 modifiée et le règlement européen n° 611/2013) impose en effet aux opérateurs "de notifier à la Commission nationale de l'informatique et des libertés toute violation de données personnelles et, le cas échéant, d'informer les personnes concernées de l'existence de la violation". Une télé-procédure sécurisée a d'ailleurs été mise en place pour faciliter cette démarche.

Concernant le cas spécifique d'Orange, la CNIL indique que le dossier est "en cours d'instruction" par ses services. Au passage, l'autorité administrative invite les clients de l'opérateur historique à faire preuve d'une vigilance particulière face à toute sollicitation suspecte demandant de fournir des informations personnelles. Il ne faut absolument pas y donner suite.

Partager sur les réseaux sociaux

Articles liés