LA RESPONSABILITÉ RECONNUE D'ORANGE EN MATIÈRE DE SÉCURITÉ DES DONNÉES PERSONNELLES

Publié par le dans | Consulté 145 Fois

Dans un arrêt du 30 décembre 2015, le Conseil d’Etat a rejeté le recours d’Orange qui visait une mise en demeure de la CNIL (Commission nationale de l’informatique et des libertés) en raison de failles de sécurité.

En effet, la CNIL avait épinglé l’opérateur Orange pour manquement à ses obligations de sécurité des données personnelles dans le cadre de ses relations avec ses sous-traitants, dans une décision du 7 août 2014.

Une obligation de sécurité mise à la charge du responsable du traitement selon la loi Informatique et Libertés

Pour resituer l’affaire, en avril 2014, à la suite d’une intrusion illicite sur le serveur d’un sous-traitant de Gutenberg, le prestataire d’emailing d’Orange, 1,3 million de données personnelles relatives aux abonnés ou prospects d’Orange avaient fuité.

L’opérateur avait alors, conformément à ses obligations d’opérateur de télécommunications, notifié l’incident à la CNIL.

A la suite de cette notification, la CNIL a procédé à une mission de contrôle auprès d’Orange et de ses prestataires.

Après l’observation de quelques lacunes concernant la sécurité des données, la CNIL a prononcé envers Orange un avertissement public. En effet, selon l’autorité de contrôle, l’opérateur avait « manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients ».

Le problème était le suivant : « un lien de désinscription figurant sur un courriel de prospection permettait, par une modification de l’adresse URL, d’accéder à un serveur du prestataire secondaire contenant 700 fichiers relatifs aux clients et prospects de la société Orange. Ces fichiers ont été « aspirés » les 4 et 5 mars 2014 depuis une adresse IP non identifiée justifiant un dépôt de plainte de la société sur le plan pénal ». Orange nous indiquait qu’au total, moins de 3 % de ses clients avaient été concernés, « dont leurs nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile »

Cette décision a été confirmée par le Conseil d’Etat le 30 décembre 2015 qui avait promptement rappelé l’obligation de sécurité des données à la charge du responsable de traitement y compris lorsque les données sont confiées à des sous-traitants. Cette obligation est prévue par l’article 34 de la loi Informatique et Libertés du 6 janvier 1978.

Cet article énonce, en effet, que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (..) ».

Pourtant, Orange avait alors invoqué le fait que l’obligation de sécurité avait été induite dans le contrat à la charge de son prestataire et de ses sous-traitants.

A ce titre, qui est alors réellement responsable ? Orange ou ses sous-traitants ?

L’opérateur Orange reconnu responsable

Pour le Conseil d’Etat, Orange est le seul responsable même si les traitements de données aient été réalisés par un prestataire ou des sous-traitants.

Il a ainsi considéré qu’une telle circonstance « ne décharge pas le responsable du traitement de la responsabilité qui lui incombe de préserver la sécurité des données, sans que soit ainsi méconnu le principe constitutionnel de responsabilité personnelle, dès lors que ces sous-traitants agissent (…) sur instruction du responsable de traitement ».

L’introduction d’une obligation de sécurité dans le contrat à la charge du prestataire ou des sous-traitants de suffit donc pas. Orange aurait du, et c’est ce qui est important ici, « prendre des mesures positives destinées à assurer soi-même que la sécurité des données soit préservée ».

En effet, Orange n’a pas procédé à trois mesures nécessaires.

Tout d’abord, la CNIL avait reproché à Orange de ne pas avoir procédé à un audit de sécurité concernant « l’application, qui avait été spécialement définie pour la prospection commerciale de ses clients ».

A la place, Orange « avait utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel » alors que les moyens auraient du être sécurisés.

Enfin, il « n’avait pas veillé à ce que les consignes de sécurité prévues contractuellement avec Gutenberg soient portées à la connaissance du prestataire secondaire ».

Orange a donc méconnu les obligations de sécurités mises à sa charge pour la CNIL et le Conseil d’Etat.

Concernant la sanction avertissement, le Conseil d’Etat la juge proportionnée au regard du nombre de données personnelles concernées en considérant « d’une part, que l’avertissement prononcé par la délibération attaquée est proportionné à la nature et à la gravité des manquements constatés, alors même qu’il n’en est résulté qu’une atteinte à des données identifiantes non sensibles ; d’autre part, qu’eu égard à la nature des violations constatées et aux moyens humains et financiers dont disposait la société Orange pour les prévenir, la formation restreinte a pu à bon droit décider, en application du deuxième alinéa de l’article 46 de la loi du 6 janvier 1978, à titre de sanction complémentaire, que l’avertissement prononcé serait rendu public ».

Ce qu’il faut retenir ici est que la responsable de traitement ne peut pas se retrancher derrière le contrat qui organise la sous-traitance pour échapper à ses propres obligations.

Cependant, la proposition de règlement européen sur la protection des données personnelles prévoyait que « le responsable du traitement et le sous-traitant sont libres de définir leurs rôles et tâches respectifs quant au respect des exigences (dudit règlement) ».

Mais à la suite d’un compromis entre les autorités européennes, cette disposition semble avoir disparu.

Donc même si le responsable du traitement reste le seul responsable en cas de faille dans l’obligation de sécurité, il faut relativiser, les sous-traitants ne sont pourtant pas exonérés de leurs obligations mises à leur charge.

SOURCES :

ANONYME, « Obligation de sécurité : Orange responsable de ses sous-traitants », legalis.net, mis en ligne le 18 février 2016, consulté le 27 février 2016, <http://www.legalis.net/spip.php?page=breves-article&id_article=4904>

DELAGE (A.), « CE, 30 déc. 2015, Obligation pour un responsable de traitement de s’assurer de la sécurité des données personnelles gérées par un sous-traitant », juriscom.net, mis en ligne le 4 février 2016, consulté le 27 février 2016, <http://juriscom.net/2016/02/ce-30-dec-2015-obligation-pour-un-responsable-de-traitement-de-sassurer-de-la-securite-des-donnees-personnelles-gerees-par-un-sous-traitant/>

REES (M.), « Défaut de sécurité : Orange échoue à faire annuler la sanction de la CNIL », nextinpact.com, mis en ligne le 12 février 2016, consulté le 27 février 2016, <http://www.nextinpact.com/news/98528-defaut-securite-orange-echoue-a-faire-annuler-sanction-cnil.htm>