Les Secrets de Saint Pierre

La Cnil tance Orange pour s’être fait voler des données
Les Echos du 25 août 2014
Julien Dupont-Calbo

Avertissement pour Orange. La Commission nationale de l’informatique et des libertés (Cnil) a publiquement tancé l’opérateur historique pour « défaut de sécurité des données ». Début mars, près de 1,3 million de clients Orange avaient été victimes d’un vol de données personnelles – nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile. Une mauvaise opération pour l’image de l’opérateur historique, qui s’était déjà fait voler en février des données concernant 800.000 clients.

En mars, les ennuis d’Orange ont commencé avec un « lien de désinscription figurant sur un courriel de prospection  » , explique la Cnil dans son procès-verbal . Ce lien permettait d’accéder à un serveur du prestataire secondaire (prestataire d’un sous-traitant d’Orange), XL Marketing, serveur qui contenait 700 fichiers relatifs aux clients et prospects de l’opérateur. « Ces fichiers ont été aspirés le 4 et 5 mars depuis une adresse IP non identifiée », précise la Cnil, auprès de qui l’accident n’a été notifié que le 25 avril. Lors de son enquête, la Cnil a découvert que l’application du prestataire secondaire pour la réalisation de campagnes de prospection n’avait pas été auditée et qu’Orange avait envoyé par « simple courriel et sans mesure de sécurité particulière » des fichiers clients... De même, aucune clause de sécurité et de confidentialité des données n’était imposée au prestataire secondaire. « La société a manqué à son obligation de sécurité », conclut la Cnil. Pour sa défense, Orange a notamment fait valoir « les risques inhérents à une chaîne de sous-traitance ».


Failles réparées
Chez Orange, aujourd'hui, « on prend acte de l’avertissement ». Depuis les faits, assure l’opérateur historique, la Cnil, l’Agence nationale de la sécurité des systèmes d'information (Anssi) et les clients concernés ont été avertis (comme la loi y oblige) et les failles ont été réparées – c’est d'ailleurs la raison pour laquelle la Cnil n’a pas prononcé de « mise en demeure ». Les fichiers clients sont désormais chiffrés et, surtout, l’opérateur a signé un contrat avec son prestataire direct, qui contraint ce dernier à faire respecter la sécurité par les sous-traitants. « La sécurité des données n’est pas liée au nombre de sous-traitants, souligne Florence Fourets, directrice de la protection des droits et des sanctions à la Cnil. Une société qui fait appel à un tiers doit signer un contrat avec lui comportant des clauses de sécurité et de confidentialité des données.  »

Orange rappelle enfin que le piratage est un fléau qui touche tout le monde : « On est loin d’être les seuls à s’être fait pirater. » L’opérateur a plutôt cherché à être le bon élève en matière de respect des données personnelles. En novembre 2013, le PDG, Stéphane Richard, avait solennellement signé une charte allant dans ce sens. « Orange aurait été un bon élève s’il avait tout mis en œuvre pour éviter les dysfonctionnements, mais il ne l’a pas fait » , conclut sèchement Florence Fourets.