Dans une décision du 30 décembre 2015, le Conseil d’Etat a confirmé la délibération de la CNIL du 7 août 2014 qui avait sanctionné Orange pour ne pas s’être assuré que la sécurité des données confiées à des sous-traitants était préservée.
En l’espèce, le 18 avril 2014, une intrusion illicite sur le serveur d’un sous-traitant de Gutenberg, le prestataire d’emailing d’Orange, avait permis une fuite de 1,3 millions de données personnelles d’abonnés de l’opérateur téléphonique. Conformément à l’article 34 bis de la loi informatique et libertés du 6 janvier 1978, ce dernier avait notifié l’incident à la CNIL. A la suite d’une procédure de contrôle conduite par une délégation de la CNIL dans les locaux de trois sociétés sous-traitantes, une procédure de sanction visant Orange avait été ouverte.
Pour rappel, l’article 34 de la loi informatique et libertés du 6 janvier 1978 dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ». L’article 35 de la même loi dispose quant à lui que « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures ».
Or, à la suite de la procédure de contrôle, il était d’abord apparu qu’Orange n’avait jamais réalisé aucun audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure aurait, selon la délégation de la CNIL, permis d’identifier la faille de sécurité. Il était ensuite reproché à Orange d’avoir envoyé les mises à jour de ses fichiers clients à ses prestataires « par simple courriel et sans mesure de sécurité particulière ». Enfin, il était reproché à Orange de ne pas avoir veillé à ce que les consignes de sécurité prévues dans le contrat avec Gutenberg soient portées à la connaissance de ses sous-traitants.
En considération des faits reprochés, la CNIL avait, par délibération du 7 août 2014, prononcé un avertissement public à l’encontre d’Orange. Ayant fait appel de cette sanction, le Conseil d’Etat l’a confirmé dans sa décision du 30 septembre 2015. En effet, au regard du caractère personnel des données et du très grand nombre de personnes concernées, le Conseil d’Etat a considéré « d’une part, que l’avertissement prononcé par la délibération attaquée est proportionné à la nature et à la gravité des manquements constatés (…) ; d’autre part, qu’eu égard à la nature des violations constatées et aux moyens humains et financiers dont disposait la société Orange pour les prévenir, la formation restreinte a pu à bon droit décider (…), à titre de sanction complémentaire, que l’avertissement prononcé serait rendu public ».
En somme, il incombe toujours au responsable du traitement de s’assurer de la sécurité des données traitées, quand bien même celui-ci confierait à un prestataire ou un sous-traitant ses données. Le fait d’introduite une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants n’est d’ailleurs pas suffisant, encore faut-il « prendre des mesures positives destinées à assurer [soi-même] que la sécurité des données soit préservée ».