Cybersécurité - Innovations digitales et numériques

Elle conclut que « la société a manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévu par l'article 34 de la loi "Informatique et Libertés" et a prononcé à son encontre un avertissement public ». Trois points ont donc été retenus par la Commission : pas d'audit de sécurité, des données transférées de manière non sécurisée et le manque de clause de sécurité et de confidentialité.

Le détail complet du compte rendu se trouve par ici. On y apprend notamment qu'Orange a été informée de la faille par l'un de ses clients : « un lien de désinscription figurant sur un courriel de prospection permettait, par une modification de l'adresse URL, d'accéder à un serveur du prestataire secondaire contenant 700 fichiers relatifs aux clients et prospects de la société Orange. Ces fichiers ont été « aspirés » les 4 et 5 mars 2014 depuis une adresse IP non identifiée justifiant un dépôt de plainte de la société sur le plan pénal ».

Lundi dernier, elle a réuni les principaux opérateurs. Son objectif était de rappeler « le cadre légal et réglementaire applicable » et de leur expliquer ce qui était attendu de leur part en cas de violation. La CNIL a aussi présenté ses pouvoirs de contrôle et de sanction.

La CNIL invite aussi les clients des opérateurs à la plus grande prudence : les cyberattaques de ce genre avec fuite de données personnelles favorisent le phishing ou hameçonnage : les clients reçoivent des liens vers de faux sites, et donnent ainsi leur données sensibles ou cybercriminels. Selon la CNIL : « Il est donc nécessaire d’être attentif à de telles sollicitations, de ne pas y répondre, de ne pas ouvrir les courriers électroniques suspects et en tout cas de ne cliquer sur aucun lien, et enfin de les signaler à la cellule mise à disposition par Orange ».