Nous vous en parlions récemment, Orange a subi un vol de données suite à un accès illégitime sur une plateforme qu'elle utilise pour ses campagnes commerciales. L'entreprise a alors prévenu les personnes concernées par souci de transparence, ainsi que la CNIL, qui s'est empressée de mener une enquête.
Le vol de données est intervenu le 18 avril dernier, et a concerné 1,3 million de compte de clients d'Orange, mais aussi d'autres opérateurs, puisque cette base était utilisée pour des opérations commerciales et de la prospection. Une liste de noms, prénoms, dates de naissance, adresses électroniques et numéros de téléphone fixe ou mobile a ainsi été dérobée, ce qui a interpellé la CNIL.
Après une enquête chez Orange et chez ses prestataires, la Commission a relevé que les dysfonctionnements qui avaient engendré la faille ont été corrigés, mais reproche à l'opérateur historique de ne pas avoir été assez prudent quant au système de son partenaire : la société n'a pas fait réaliser d'audit de sécurité avant d'utiliser la solution technique de son prestataire pour l'envoi de campagnes d'emailing alors que cette mesure lui aurait permis d'identifier la faille de sécurité peut-on lire dans le rapport.
De plus, la CNIL a également noté que la société a envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et qu'aucune clause de sécurité et de confidentialité des données n'avait été imposée à son prestataire. Par conséquent, c'est un avertissement public qu'a prononcé la CNIL à l'encontre d'Orange pour défaut de sécurité des données dans le cadre de campagnes marketing.
