CONTACT

SIM swapping : Orange sanctionnée pour défaut de base légale

25 septembre 2023 | Derriennic associés|

AEPD (Espagne), 24 mars 2023

L’opérateur téléphonique Orange a été sanctionné pour avoir traité les données personnelles d’un client sans base légale, ce qui a engendré une usurpation d’identité de ce dernier.

Le SIM swapping est une technique de piratage par laquelle un pirate obtient d’un opérateur un duplicata d’une carte SIM. Le pirate est ainsi en mesure de détourner les appels et SMS et peut s’approprier les codes d’identification envoyés par les tiers, telles que les banques.

 Le 17 janvier 2022, un pirate a déjoué les mesures de sécurité d’Orange et est parvenu à obtenir ledit duplicata d’un client. Ce faisant, il s’est identifié sur l’application bancaire du client et a effectué des virements frauduleux.

Constatant cette usurpation, le client a déposé une plainte pénale et a sollicité la copie de la demande de duplicata. Face au refus d’Orange de transmettre ladite copie, le client a déposé une plainte auprès de l’autorité de contrôle espagnole.

Au cours de son enquête, l’autorité de contrôle, après avoir rappelé qu’Orange est responsable du traitement et que la délivrance d’une carte SIM implique un traitement de données à caractère personnel, a rappelé les obligations qui pèsent sur les opérateurs téléphoniques.

Elle a considéré que « la diligence des opérateurs est essentielle pour éviter ce type d’escroqueries » et que ces « diligences se traduisent par la mise en place de mesures adéquates pour garantir que le traitement de données est conforme au RGPD ».

Or, en l’espèce, le simple fait d’avoir fourni une carte SIM à un tiers « prouve un manquement à l’obligation de protéger les informations des clients ».

Etonnamment, l’autorité de contrôle n’a pas considéré qu’Orange avait violé les articles 5§1.f et 32 du RGPD relatifs à la sécurité, mais qu’Orange a violé l’article 6§1 du RGPD, relatif à un défaut de base légale.

Pour expliquer un tel fondement, l’autorité a considéré qu’Orange « a fourni un duplicata de SIM du plaignant à un tiers sans son consentement et sans vérifier l’identité du tiers » et donc que le traitement a été effectué en dehors de toute base légale.

Compte tenu de ce qui précède, l’autorité de contrôle espagnole a infligé à Orange une amende de 70 000 €.

Source : ici

Personnalisation des cookies

Cookies de mesures d'audience

Ce site utilise Matomo à des fins statistiques (cookies de mesure d’audience). Ils permettent de savoir combien de fois une page déterminée a été consultée. Nous utilisons ces informations uniquement pour améliorer le contenu de notre site Internet.

Il s’agit des cookies suivants :

_ga : Ce cookie permet d’identifier les visiteurs du site via l’adresse IP de l’utilisateur. Elle est ensuite anonymisée par Matomo Analytics.

_gat_gtag_UA_162039697_1 : Ce cookie permet de limiter le nombre de requêtes simultanées au site et d’éviter les bugs

_gid : Ce cookie permet d’identifier les visiteurs du site via leur adresse IP (conservation de 24h). Elle est ensuite anonymisée par Matomo Analytics.

Vous pouvez consulter la page dédié à la protection des données de Matomo