La CNIL a fait savoir lundi qu'elle avait jugé Orange responsable du piratage des données personnelles de plus de 1 million de clients et prospects. Mais elle ne prononce aucune autre condamnation que cette déclaration publique de culpabilité.

Condamnée au pilori. En avril dernier, Orange avait alerté ses abonnés d'une nouvelle intrusion dans ses fichiers clients, qui a concerné les noms, prénoms, dates de naissance, adresse e-mail et numéros de téléphones de 1,3 millions de clients et prospects. C'était la deuxième fois de l'année que l'opérateur historique était ainsi victime d'un piratage de données confidentielles de ses abonnées, alors-même que Stéphane Richard avait fait de la sécurité un engagement prioritaire du groupe.

Quatre mois plus tard, la CNIL annonce qu'elle a jugé Orange responsable des fuites, issues d'une prestation d'e-mailing par un sous-traitant de sous-traitant. "Le lien de désinscription figurant sur un courriel de prospection permettait, par une modification de l'adresse URL, d'accéder à un serveur du prestataire secondaire contenant 700 fichiers relatifs aux clients et prospects de la société ORANGE", peut-on lire dans la délibération (.pdf) rendue publique ce lundi, mais adoptée le 7 août dernier. "Ces fichiers ont été "aspirés" les 4 et 5 mars 2014 depuis une adresse IP non identifiée".

Aucun audit de sécurité

Or, relève la CNIL, "l'application technique permettant la réalisation de campagnes de prospection avait été spécifiquement adaptée par le prestataire secondaire pour répondre aux besoins de la société ORANGE", et "cette nouvelle version de l'application avait été mise en production en novembre 2013 sans qu'aucun audit de sécurité n'ait été préalablement réalisé".

Par ailleurs, il a été établi qu'Orange communiquait ses fichiers clients avec ses sous-traitants "par simple courriel et sans mesure de sécurité particulière", et qu'elle n'avait pas suffisamment bien cadré juridiquement la sécurisation des données avec le "prestataire secondaire".

Aussi, la CNIL juge qu'Orange a "manqué à son obligation de sécurité" à l'égard des données personnelles des clients. Le groupe "ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires", rappelle la Commission.

Généreuse, la CNIL retient toute de même qu'Orange a "remédié dans des délais satisfaisants aux faiblesses techniques", et qu'elle a "démontré pour l'avenir une meilleure prise en compte des problématiques de confidentialité des données". Une circonstance atténuante retenue après avoir constaté qu'il est "établi qu'un tiers non autorisé a effectivement accédé" aux données qui "concernent plus d'un million de clients".

En guise de seule sanction, la CNIL a décidé de rendre cette décision publique. C'est tout. Mais ce manque d'autorité de l'autorité est une habitude.

Partager sur les réseaux sociaux

Plus de vidéos