Par Prudence Cadio, avocat, CMS Bureau Francis Lefebvre

La société Orange en sa qualité de responsable de traitement avait confié à un prestataire la réalisation de campagnes marketing et lui avait à cette occasion transmis ses fichiers clients et prospects. Rappelons que le responsable de traitement est l’entité qui détermine les moyens et les finalités du traitement, en vertu de l’article 3 I de la loi n° 78-18 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (la «Loi Informatique et Libertés»). Il est, comme son nom l’indique, responsable de la conformité du traitement des données personnelles à la Loi Informatique et Libertés. Quant au prestataire, il revêt la qualité de sous-traitant au sens de l’article 35 de ce texte et agit ainsi sur instruction et sous l’autorité du responsable de traitement.

Dans cette affaire, le sous-traitant avait lui-même fait appel à un prestataire secondaire pour exécuter cette prestation. Ce dernier avait été victime d’une intrusion sur ses serveurs qui avait entraîné une fuite de plus d’un million de données à caractère personnel appartenant à la société Orange.

Conformément aux prévisions de l’article 34 bis de la Loi Informatique et Libertés, Orange a alors notifié cette faille de sécurité à la CNIL et a informé ses clients. A la suite de cette notification, la CNIL a fait procéder à un contrôle dans les locaux d’Orange ainsi que dans ceux des sous-traitants de premier et de second rangs. Ce contrôle a révélé plusieurs manquements à la sécurité des données, ce qui a valu à Orange un avertissement de la CNIL rendu public par délibération du 7 août 2014.