La Cnil sanctionne la société Orange pour défaut de sécurité des données dans le cadre de campagnes marketing

À la suite d'une faille de sécurité concernant les données de plus d'un million de clients, la Cnil a effectué un contrôle au sein de la société Orange et de ses prestataires. Plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l'engagement d'une procédure de sanction. La Cnil, statuant en formation restreinte, a noté que la société n'a pas fait réaliser d'audit de sécurité avant d'utiliser la solution technique de son prestataire pour l'envoi de campagnes d'emailing alors que cette mesure lui aurait permis d'identifier la faille de sécurité.
Elle a également retenu que la société a envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et qu'aucune clause de sécurité et de confidentialité des données n'avait été imposée à son prestataire. Elle en a déduit que la société a manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévue par l'article 34 de la loi Informatique et Libertés et a prononcé à son encontre un avertissement public.