Dans une délibération du 7 août 2014, la formation restreinte de la CNIL a prononcé un avertissement public à l’encontre de la Société ORANGE suite à une captation frauduleuse de ses fichiers clients. L’absence d’audit de sécurité de l’application à l’origine de la faille caractérise un manquement à l’obligation générale de sécurité et de confidentialité. A cette occasion, la Commission précise en outre que l’obligation de notification des failles de sécurité visée à l’article 34 Bis de la loi inclut les opérations d’e-marketing.