En mars dernier, l'opérateur télécom Orange s'est fait voler des données personnelles de 1,3 millions de ses clients. Concrètement, ce sont des noms, prénoms, date de naissance, adresse électronique et numéro de téléphone qui ont été dérobés. L'opérateur avait averti ses clients à l'époque.

La CNIL a toutefois enquêté sur cette affaire. Dans les conclusions de cette enquête, il apparaît que l'opérateur télécom confiait ses données clients à un prestataire, XL Marketing, pour ses opérations de marketing.

Les mails envoyés lors de ces opérations marketing comportaient un lien de désinscription  à un serveur du prestataire, serveur contenant 700 fichiers clients de l'opérateur et qui a été victime du piratage. "Ces fichiers ont été aspirés le 4 et 5 mars depuis une adresse IP non identifiée", indique la CNIL.

Aux yeux de la CNIL, Orange est doublement coupable de négligence dans cette affaire.

Coupable d'abord pour ne pas avoir réalisé d'audit de sécurité auprès de son prestataire.

Coupable également pour lui avoir transmis ses données de façon insouciante : des fichiers clients ont ainsi été transmis par "simple courriel et sans mesure de sécurité particulière"

Pour ces raison la CNIL rappelle l'opérateur à l'ordre dans un document public mais ne lui inflige pas d'amende.

De son côté, Orange, dont le PDG Stéphane Richard avait signé ne 2013 une charte en matière de respect des données personnelles, indique vouloir être un bon élève dans ce domaine et rappelle que le piratage est un fléau qui touche tout le monde : "On est loin d’être les seuls à s’être fait pirater" a ainsi commenté un porte-parole.