Alors que les données personnelles de plus de 1 million de clients et prospects avaient été piratées en avril dernier, la CNIL a jugé l’opérateur responsable, mais sans prononcer de condamnation qui aurait été synonyme de culpabilité.
En avril dernier, pour la seconde fois de l’année, Orange a été victime d’une intrusion qui avait concerné 1,3 million de clients et prospects, des données volées qui comprenaient les noms, prénoms, dates de naissance, adresse e-mail et numéros de téléphones.
Quatre mois après les faits, c’est dans un délibéré rendu public ce lundi que la CNIL annonce qu’Orange est responsable des fuites, notamment pour avoir communiqué des fichiers contenant toutes ces données « par simple courriel et sans mesure de sécurité particulière ». Comme le souligne la Commission, « Orange ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires ».
Alors qu’une sanction synonyme de culpabilité aurait pu être prononcée contre l’opérateur, la CNL ne prononce aucune condamnation hormis cette déclaration de responsabilité publique.
Si cette décision laisse à penser qu’Orange n’est pas « coupable », mais seulement responsable, la CNIL souligne que l’opérateur est tout de même responsable de « remédier dans des délais satisfaisants aux faiblesses techniques » de la solution en place.
Comme on dit souvent jamais deux sans trois, la question est de savoir si la CNIL sera aussi conciliante en cas de troisième intrusion cette année ?
