La CNIL adresse un avertissement à Orange

A la suite d’une faille de sécurité concernant les données de plus d’un million de clients, la CNIL a effectué un contrôle au sein de la société ORANGE et de ses prestataires. Des lacunes de sécurité ayant été identifiées, la formation restreinte prononce un avertissement public:

A la suite d’une défaillance technique de l’un de ses prestataires, ORANGE a signalé à la CNIL en avril 2014 une violation de données personnelles (données de près de 1,3 million de clients dont leurs nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile).

La société ORANGE soutenait avoir pris toutes mesures utiles afin de respecter son obligation de sécurité des données.

La formation restreinte (de la CNIL) a toutefois retenu que la société n’a pas fait réaliser d’audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure lui aurait permis d’identifier la faille de sécurité. Elle a également retenu que la société a envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et qu’aucune clause de sécurité et de confidentialité des données n’avait été imposée à son prestataire.

La formation restreinte en a déduit que la société a manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévu par l’article 34 de la loi  » Informatique et Libertés  » et a prononcé à son encontre un avertissement public.

Tous les détails et l’accès à la délibération de la formation restreinte n°2014-298 du 7 août 2014 prononçant un avertissement à l’encontre de la société ORANGE sont précisés sur le site de la CNIL .

bouton twiller