Chaîne de sous-traitance
Le gendarme considère que les défaillances de l’opérateur étaient graves, même si celles-ci ont été rapidement corrigées depuis et que tous les clients ont été alertés.
Chaîne de sous-traitance
Dans les faits, rapportés dans le compte rendu de la délibération de la CNIL, le vol de données est intervenu chez le sous-traitant d’un sous-traitant d’Orange. L’opérateur avait bien verrouillé les questions de sécurité avec son premier prestataire, mais pas avec celui de second rang. Au point que ce dernier recevait des fichiers de mise à jour de données de clients par simple courriel… sans aucune mesure de sécurité ni clause de confidentialité.
L’ex-France Télécom explique que « la faille de sécurité serait liée aux risques inhérents à une chaîne de sous-traitance », peut-on lire dans la délibération. C’est bien le problème !
Toutes les grandes entreprises recourent à des armadas de sous-traitants dans de multiples domaines. Mais dans le BTP, comme dans l’énergie ou les télécommunications, le risque est le même : celui d’une dilution de la responsabilité.
Amertume
Aussi cette décision est-elle salutaire en ce qu’elle affirme qu’Orange « ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires ». Le rappel à l’ordre est sévère puisque la CNIL souligne que l’insuffisance des mesures prises par le numéro un français des télécommunications pour la sécurité des données de ses clients a « contribué à la réalisation du risque ».
Le groupe dirigé par Stéphane Richard a décidé de ne pas faire appel de cette décision. Son porte-parole rappelle que c’est parce qu’il a informé la CNIL du vol de données qu’il se retrouve aujourd’hui sanctionné. On comprend son amertume, mais on n’excusera pas la faute.
