AEPD (autorité espagnole)
Orange sanctionné d’une amende de 1,2 millions d’euros pour manquement à la protection des données personnelles suite à un « SIM swapping »
L’autorité espagnole a aujourd’hui publié une longue (120 pages) décision de sanction à l’encontre d’Orange Espagne en raison de lacunes sur les mesures de sécurité, mises en lumière par un nouveau cas de SIM swapping. Cette affaire commence par une réclamation déposée par une victime l’émission frauduleuse d’un duplicata de carte SIM le 15 novembre 2022, sans le consentement du titulaire, dans une boutique franchisée d’Orange à Madrid, qui a engendré un vol de 9 000 euros sur les comptes bancaires de la victime.
L’enquête de l’AEPD a permis de constater;
* Traitement illicite de données (article 6 du RGPD): L’émission d’un duplicata de carte SIM constitue un traitement de données personnelles (nom, numéro de téléphone, identifiants réseau). En permettant cette fraude, Orange a traité illégalement les données du plaignant, entraînant une conséquence directe sur sa sécurité financière.
* Privacy by design (article 25 du RGPD): L’AEPD a constaté des manquements dans l’application du principe de protection des données dès la conception des procédures d’émission de duplicatas de cartes SIM. En particulier, il n’y a pas eu de mesures prévues pour vérifier que les informations saisies n’étaient pas erronées et pour vérifier que la demande de duplication de la carte était faite par le titulaire de la ligne via une authentification multifacteur. Orange n’a pas suffisamment analysé les risques liés à un processus manuel de duplicata de carte SIM, et n’a en conséquence pas mis en place les mesures techniques et organisationnelles appropriées pour vérifier l’identité des demandeurs de duplicata
Orange a tenté de se défendre en déclarant être victime de cette fraude, commise par des employés agissant en violation des protocoles. Cependant, l’AEPD a estimé qu’Orange reste responsable en tant que responsable du traitement des données et aurait dû mieux sécuriser le processus de duplication de cartes SIM. L’entreprise a été sanctionnée à une amende de 1,2 millions d’euros, et devra améliorer ses pratiques pour éviter les fraudes.
Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.