Juridique

Affaire Orange/CNIL : sous-traiter ne minimise pas la responsabilité du commanditaire

Une faille de sécurité chez un prestataire ayant réalisé des opérations de marketing pour l'opérateur Orange a causé une fuite de données personnelles. La CNIL a sanctionné l'opérateur.

PublicitéLe 25 avril 2014, l'opérateur Orange a été obligé de notifier à la CNIL une violation des données à caractère personnel ayant impacté 1 340 000 clients. Après enquête, la CNIL (Commission Nationale Informatique et Liberté) vient de publier une décision prise le 7 août 2014 et sanctionnant -symboliquement- l'opérateur. Cette sanction symbolique, l'avertissement public, entache tout de même la réputation du groupe qui propose par ailleurs de nombreux services d'hébergement et de prestations informatiques.
Mais ce n'est pas l'imprudence ou l'incompétence des équipes internes d'Orange qui est pointée par la CNIL. Sa responsabilité est liée au fait que la société était responsable des traitements et des données concernées. Que la faille ayant entraîné la fuite de données soit dû à une erreur d'un prestataire de marketing direct ne change rien. La CNIL observe en effet : « la société a l'obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients et prospects et elle ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires. »
La CNIL insiste donc sur l'impossibilité pour une entreprise de se défausser de sa responsabilité sur ses prestataires. Orange se devait de vérifier elle-même, pas seulement par une clause contractuelle, que son sous-traitant opérait dans des conditions de sécurité satisfaisantes.
La sanction est restée limitée d'une part parce que les données n'ont pas été jugées comme « sensibles », d'autre part parce que les corrections nécessaires ont été rapidement apportées une fois l'incident détecté.