Début mai, nous apprenions le vol de données personnelles de 1,3 million de clients et de prospects d'Orange. Une intrusion informatique avait eu lieu le 18 avril sur une plateforme technique d'envoi d'emails et de SMS utilisée pour les campagnes commerciales de l'opérateur.

Les données compromises ont été des noms, prénoms, dates de naissance, adresses électroniques, ainsi que les numéros de téléphone fixe et mobile de clients. De quoi exposer ces derniers à un risque accru de phishing ciblé.

En avril, Orange avait notifié à la CNIL une violation de données personnelles. Après enquête, le garant de la protection des données personnelles a décidé de sanctionner Orange pour " défaut de sécurité des données dans le cadre de campagnes marketing ". Une sanction qui prend la forme d'un avertissement public.

Certes, il n'y a pas de sanction financière mais cet avertissement public sera difficile à digérer par Orange. Il va brouiller le message de son engagement fort dans la protection des données personnelles.

La faille est venue d'un lien de désinscription sur un email de prospection qui a permis avec une modification d'URL d'avoir accès au serveur d'un prestataire contenant 700 fichiers relatifs à des clients ou prospects d'Orange.

Contrairement à ce qu'a avancé Orange, la CNIL a estimé que l'opérateur n'avait pas fait tout le nécessaire pour respecter " son obligation de sécurité des données ". Il est reproché à Orange de ne pas avoir fait réaliser un audit de sécurité concernant la solution de son prestataire pour l'envoi de campagnes d'emailing.

Et plutôt embarrassant pour Orange : " l'envoi de manière non sécurisée à ses prestataires de mises à jour de ses fichiers clients ", et " aucune clause de sécurité et de confidentialité des données imposée à son prestataire. "