Le vol de données subi par Orange mi avril est resté en travers de la gorge de la Cnil. La Commission nationale de l'informatique et des libertés tape sur les doigts de l'opérateur pour « défaut de sécurité ». Suite à la faille de sécurité qui a permis aux hackers de subtiliser les données confidentielles d'1,3 million de personnes, l'institution a dépêché ses meilleurs limiers afin d'enquêter sur la « défaillance technique » d'un des prestataires d'Orange à l'origine de cette intrusion. Rappelons qu'il s'agissait de fichiers pour des campagnes promotionnelles par e-mail qui concernent tout aussi bien des abonnés d'Orange que des clients d'autres opérateurs.
Si la Cnil a pu constater que les dysfonctionnements à l'origine de la faille ont bien été corrigés, « plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l'engagement d'une procédure de sanction ». Orange a assuré que toutes les mesures utiles avaient été prises afin d'assurer la sécurité des données, mais l'opérateur n'a pas cru bon de réaliser un audit de sécurité avant d'utiliser la solution de son prestataire; cette mesure lui aurait pourtant permis d'identifier la vulnérabilité.
Rajoutons à cela que non seulement Orange a fait parvenir à ses fournisseurs des fichiers clients non sécurisés, mais encore que l'opérateur n'a pas cru bon d'imposer à ses prestataires de clause de sécurité et de confidentialité pour ces mêmes fichiers. Orange a donc « manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients ». Un avertissement public a donc été émis à l'encontre de l'entreprise.
