Défaut de sécurité : Orange échoue à faire annuler la sanction de la CNIL
Elle contrattaque, en pire
Le 12 février 2016 à 15h10
3 min
Droit
Droit
L’arrêt nous avait échappé, mais voilà quelques semaines, le Conseil d’État a finalement rejeté le recours d’Orange visant une mise en demeure de la CNIL, sur fond de faille de sécurité.
Souvenez-vous : en 2014, la CNIL avait considéré que le FAI avait « manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients » . L’opérateur écopait d’un bruyant avertissement public, l’une des sanctions disponibles dans la besace de la loi de 1978.
La Commission avait expliqué l’origine du problème : « un lien de désinscription figurant sur un courriel de prospection permettait, par une modification de l'adresse URL, d'accéder à un serveur du prestataire secondaire contenant 700 fichiers relatifs aux clients et prospects de la société Orange. Ces fichiers ont été « aspirés » les 4 et 5 mars 2014 depuis une adresse IP non identifiée justifiant un dépôt de plainte de la société sur le plan pénal ». Orange nous indiquait qu’au total, moins de 3 % de ses clients avaient été concernés, « dont leurs nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile » précisait la CNIL.
En octobre 2014, l’opérateur contrattaquait cette décision administrative devant le Conseil d’État. En vain : celui-ci a rejeté sa demande, le 30 décembre dernier, non sans fournir et confirmer de précieux détails : « une intrusion illicite sur le serveur d'une société sous-traitante de la société Gutenberg, prestataire de services de la société Orange, a permis d'accéder aux données à caractère personnel de 1,3 million de clients et prospects de cette dernière ».
La contrattaque d'Orange repoussée par le Conseil d’État
Orange avait jugé cette sanction d’avertissement comme irrégulièrement prise. Une analyse non partagée par les juges. Autre chose, l’obligation pesant sur les FAI d’informer les abonnées d’une faille de sécurité, inscrite dans la loi de 1978, violerait selon l’entreprise « le droit de ne pas contribuer à sa propre incrimination ». Hypothèse également repoussée : ces dispositions « n'ont ni pour objet ni pour effet de leur imposer de révéler des manquements qui leur seraient imputables. »
Enfin, le Conseil d’État a considéré qu’Orange était bien responsable de cette faille, peu importe que les traitements de données aient été réalisés par le sous-traitant de son sous-traitant. En effet, une telle circonstance « ne décharge pas le responsable du traitement de la responsabilité qui lui incombe de préserver la sécurité des données, sans que soit ainsi méconnu le principe constitutionnel de responsabilité personnelle, dès lors que ces sous-traitants agissent (…) sur instruction du responsable de traitement. »
Audit, sécurisation, obligations
Orange aurait donc dû prendre des mesures nécessaires, spécialement réaliser un audit de sécurité « sur l'application qui avait été spécialement définie pour la prospection commerciale de ses clients », qui n’a pas été fait. Mieux, le FAI « avait utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel et n'avait pas veillé à ce que les consignes de sécurité prévues contractuellement avec Gutenberg [son sous-traitant au premier degré, ndlr] soient portées à la connaissance du prestataire secondaire. »
Avant de rejeter cette requête, les juges ont enfin considéré la sanction - un simple avertissement - parfaitement proportionnée.
Défaut de sécurité : Orange échoue à faire annuler la sanction de la CNIL
-
La contrattaque d'Orange repoussée par le Conseil d’État
-
Audit, sécurisation, obligations
Commentaires (11)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 12/02/2016 à 15h21
Je vois même pas comment Orange a pu espérer voir sa demande passer.
Et ils s’en sortent bien (bien que l’impact sur l’image soit considérable).
Le 12/02/2016 à 15h22
Tout ce chichi pour un simple avertissement.
Ils avaient rien à faire les avocats d’Orange ?
Le 12/02/2016 à 15h23
“et n’avait pas veillé à ce que les consignes de sécurité prévues contractuellement avec Gutenberg”
Voilà un sous-traitant qui fait mauvaise impression…
Le 12/02/2016 à 15h24
J’ai dû demander un reset de mon mot de passe Orange pour accéder à Internet une fois. J’ai reçu dans un même email l’identifiant et le nouveau mot de passe !
Quand on voit ça on peut s’attendre au pour tout le reste
Le 12/02/2016 à 15h29
Orange, la multinationale qui ne sécurise pas ses échanges informatiques et qui utilise toutes les voies de recours pour chercher la petite bête qui empêcherait une autorité administrative de lui infliger un camouflet juridique.
Comme quoi, l’adage “Too big to fail” n’est pas toujours vrai, une PME est parfois plus à même de sécuriser ses processus de production qu’une multinationale comme Orange qui fait parfois n’importe quoi avec les données de ses clients (les normes de qualité ne veulent souvent pas dire grand chose dans la pratique).
Le 12/02/2016 à 16h00
Stéphane Richard a publié aujourd’hui un article sur Linkedin “Cybersecurity, a reflex to generalise!”   LinkedIn" />
Le 12/02/2016 à 18h04
Orange conserve toutes les données clients sur ses serveurs, même après avoir résilié toute les offres. Un an après être passé chez free.fr, je pouvais encore me connecter sur orange.fr et accéder à mes données. J’ai dû faire une lettre recommandée avec AR pour faire fermer mon compte sur orange.fr.
Le 12/02/2016 à 22h19
Alors si impossible n’est pas français, too big to fail non plus…
Et cela n’a rien à voir avec la qualité de service relativement à la taille d’une entreprise…..
C’est juste une devise ( ou une soi-disant prédiction auto-réalisatrice ) qui concerne les grosses banques.
Si une de ces banques venaient à faire faillite, les autres suivraient et cela serait la ruine de l’économie….
Et c’est aussi pour ça que les banques se croient autorisées à faire n’importe quoi en espérant être renflouées par les états à la fin.
Mais des fois ça marche pas ;)
Le 12/02/2016 à 22h37
Si ca t’amuse de payer pour rien, libre à toi…
En plus c’est pas sûr qu’il soit supprimé, c’est juste que tu n’y as plus accès…
Il doivent probablement conserver les données pour des raisons légales un certain temps… ( du genre hadopi ;)
Le 13/02/2016 à 21h55
Monsieur ……
Monsieur … !!!!
Tu connais le principe du donneur d’ ordre ????
Le 15/02/2016 à 12h40