01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Vol de données chez ORANGE : les clients peuvent voir rouge !

Logo HAAS 2022

Non pas une mais deux fois en quelques mois ! Déjà victime d’une faille de sécurité en Février 2014 concernant les données de près de 800 000 clients, l’opérateur de téléphonie ORANGE s’est vu une nouvelle fois dérober des données à caractère personnel.

L’intrusion dans le système informatique d’ORANGE, détectée le 18 avril dernier, toucherait plus d’1.3 millions de clients et prospects et des données telles que leurs noms et prénoms et, lorsqu’ils étaient renseignés, les adresses mail, les numéros de téléphone fixe et mobile, l’opérateur mobile et internet et la date de naissance.

Cet événement mène à s’interroger sur les risques encourus par les clients de l’opérateur. Que font les pirates de ces données ?
Une fois dérobées, les données peuvent être d’une part revendues à bon prix et d’autre part utilisées à des fins de « phishing ».
Le « phishing » ou « hameçonnage » est une technique de piratage qui vise à recueillir des informations confidentielles (codes d’accès, mots de passe…etc.) via l’envoi de courriels censés provenir de banques ou d’opérateurs. Les pirates se font ainsi facilement passer pour des tiers de confiance et ce sont les victimes elles-mêmes qui fournissent leurs propres données personnelles lorsqu’elles sont redirigées vers un site « miroir », un faux site reproduisant fidèlement le logo et l’identité visuelle des banques ou opérateurs. En outre, avec le numéro de téléphone, les personnes peuvent mêmes être contactées par SMS.

Mais pourquoi la société ORANGE communique-t-telle sur ces attaques ?
Tout d’abord, la raison la plus évidente réside dans l’obligation légale incombant à la société ORANGE de déclarer à la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL ») toute faille ou attaque informatique touchant des traitements de données à caractère personnel dans les 24 heures de l’existence de l’attaque, avec la possibilité d’effectuer une notification plus détaillée dans les 72h. De surcroît, les personnes concernées doivent impérativement être informées de la situation et des risques encourus.

En conséquence, ORANGE a préféré annoncer la nouvelle par des moyens maitrisés et a, bien entendu, sensibilisé ses clients sur les risques encourus via l’envoi de courriels informatifs contenant des conseils pour éviter d’être victime de « phishing ».
Malgré les efforts de communication de la société ORANGE, le titre boursier a ouvert en petite baisse à Paris, perdant 0.3 % dans les premiers échanges. Mais bien plus que cela, une plainte a été déposée saisissant la DCRI (Direction Centrale du Renseignement Intérieur) et les risques pour cette entreprise semblent accrus au niveau de la CNIL, celle-ci pouvant, de façon discrétionnaire, effectuer de multiples contrôles.

Cette hypothèse est, a fortiori, renforcée à la vue du programme des contrôles sur l’année 2014 publié par la Commission le 29 avril dernier. Ce dernier vise en effet, dans ses thématiques prioritaires, les « modalités de gestion des violations de données personnelles par les opérateurs de communications électroniques ».

Dès lors, il serait sans aucun doute judicieux pour les fournisseurs d’accès Internet et autres opérateurs de téléphonie mobile de vérifier la conformité de leurs systèmes d’informations et de leur politique de réaction face aux failles de sécurité avec la loi Informatique et Libertés via des audits.

En outre, pour davantage de sécurité et se prémunir de façon optimale contre des sanctions, il est toujours utile – voire essentiel – de sensibiliser ses salariés par le biais de formations spécifiques, notamment afin qu’ils sachent quelles formalités effectuer et comment réagir en cas de contrôle de la CNIL.

Vous souhaitez en savoir plus ? Cliquez ici

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com