01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

ORANGE avertie par la CNIL suite à une faille de sécurité

faille de securite
  • Actualité juridique, Base de données, CNIL, Cybercriminalité, Données personnelles, E-marketing, Loi Informatique et libertés


Dans une délibération du 7 août 2014, la formation restreinte de la CNIL a prononcé un avertissement public à l’encontre de la Société ORANGE suite à une captation frauduleuse de ses fichiers clients. L’absence d’audit de sécurité de l’application à l’origine de la faille caractérise un manquement à l’obligation générale de sécurité et de confidentialité. A cette occasion, la Commission précise en outre que l’obligation de notification des failles de sécurité visée à l’article 34 Bis de la loi inclut les opérations d’e-marketing.

L’occasion de revenir sur ce signal fort envoyé par la CNIL à tout fournisseur au public de service de communications électroniques.

Faisant application de l’article 34 Bis de la loi n°78-17 dite « informatique et libertés » du 6 janvier 1978 modifiée (ci-après loi IEL), la Société ORANGE a notifié à la CNIL le 25 avril 2014 une faille de sécurité ayant impacté les données à caractère personnel (nom, prénom, date de naissance, adresse mail, numéro de téléphone) d’environ 1.340.000 clients.

Suivant les dispositions de ce même article, la Société ORANGE a informé l’ensemble de ses clients d’une fuite de données en les incitant à la prudence au regard du risque de phishing ou plus généralement du risque d’escroquerie et d’usurpation d’identité.

L’origine de cette faille, qui a par ailleurs fait l’objet d’une plainte au niveau pénal, serait un dysfonctionnement du serveur d’un prestataire chargé par la Société ORANGE, d’effectuer des campagnes de marketing direct.

Bien qu’ayant rempli son obligation de notification, la Société ORANGE s’est vue notifier par la CNIL une procédure de sanction pour violation de son obligation de sécurité et de confidentialité.

Pour fonder cette sanction, la CNIL s’appuie sur l’article 34 de la loi IEL qui prévoit que : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

En l’espèce, la Commission relève ainsi que :

– L’obligation de résultat imposée par l’article 34 Bis de la loi concernant la notification des failles de sécurité est une obligation distincte de l’obligation générale de sécurité et de confidentialité prévue à l’article 34 du même texte (qui est une obligation de moyens)

– La procédure de sanction initiée suite à la violation de l’article 34 résulte de contrôles opérés par la Commission et non des rapports transmis par la Société ORANGE dans le cadre de la notification de la faille de sécurité

– Le manquement de la Société ORANGE à son obligation générale de sécurité résulte :

o du fait de ne pas avoir « fait réaliser d’audit de sécurité sur la version de l’application technique spécifiquement développée par son prestataire secondaire pour répondre à ses besoins »

o mais également du fait que la Société ORANGE n’avait pas inclus dans les contrats passés avec son prestataire secondaire de clause de sécurité et de confidentialité.

Cette décision est l’occasion de revenir sur l’une des obligations essentielles de la loi informatique et libertés. En application de ce texte chaque responsable de traitement doit en effet être en mesure de justifier qu’il a mis tout en œuvre pour assurer la sécurité et la confidentialité des données collectées et traitées à son initiative et sous son contrôle.

Sous peine d’engager sa responsabilité pénale et/ou de voir la CNIL rendre un avis public à son encontre, il appartient dès lors au responsable de traitement :

– d’une part de disposer d’une cartographie de ses systèmes d’information et des flux de données dont il assume la responsabilité

– d’autre part de mettre en place un « référentiel sécurité » détaillant les mesures organisationnelles, techniques et juridiques mises en œuvre (Charte Utilisateurs, clauses spécifiques dans les contrats de sous-traitance, politique d’habilitation, Charte de gestion des incidents etc.)

Cette sanction, prononcée par la CNIL, vient en outre poser l’épineuse question de l’étendue du champ de l’obligation prévue à l’article 34 Bis visant les fournisseurs de service de communications électroniques. Il semble en effet que l’obligation de notification des failles de sécurité soit entendue au sens large par la Commission qui précise que cette obligation s’applique parfaitement aux opérations de marketing direct. Reste à savoir jusqu’où la CNIL étendra la définition du « Fournisseur de service de communications électroniques ». En effet qu’en est-il des entreprises qui fournissent un accès internet à leurs employés par exemple ?

En tout état de cause, rappelons que les professionnels du droit sont naturellement à la disposition des responsables de traitements pour les accompagner dans les différentes démarches de consolidation juridique au regard de la loi informatique et libertés. Ces missions pourront notamment consister à des prestations d’audits pour lesquelles la CNIL a délivré un label spécifique « Audit de traitements ».

Vous voulez en savoir plus sur les audits de traitements ? Contactez nous en cliquant ICI

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com