Laisser filer 1,3 million de données d’utilisateurs, après en avoir laissé fuiter 800 000 autres, n’est pas si grave que cela aux yeux de la CNIL vu que la Commission a décidé d’adresser un simple avertissement public à Orange.
Après avoir laissé fuiter les donnes de 800 000 clients en début d’année, Orange récidive en mai avec une intrusion qui vole quelques 1,3 millions de noms, prénoms, dates de naissance, numéros de téléphone fixe et mobile, adresses postales et email s’envoler dans la nature.
Après avoir fait l’objet d’une enquête de la CNIL, l’opérateur est reconnu fautif. Mais plutôt que de sanctionner Orange, la Commission a simplement décidé d’adresser un simple avertissement public comme seule sanction.
Durant l’enquête de la CNIL, il a été constaté que les dysfonctionnements ayant engendré la faille de sécurité ont été corrigés, mais qu’il n’en demeure pas moins que « plusieurs lacunes en termes de sécurité des données » sont encore d’actualité.
Si cette sanction correspond à un manquement manifeste de son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients qui est prévue par l’article 34 de la loi Informatique et Libertés passible d’un avertissement public, le fait qu’il s’agisse d’une récidive ne semble pas peser sur le verdict. Dès lors, que se passerait-il en cas de troisième fuite ?