AEPD (Espagne), 24 mars 2023
L’opérateur téléphonique Orange a été sanctionné pour avoir traité les données personnelles d’un client sans base légale, ce qui a engendré une usurpation d’identité de ce dernier.
Le SIM swapping est une technique de piratage par laquelle un pirate obtient d’un opérateur un duplicata d’une carte SIM. Le pirate est ainsi en mesure de détourner les appels et SMS et peut s’approprier les codes d’identification envoyés par les tiers, telles que les banques.
Le 17 janvier 2022, un pirate a déjoué les mesures de sécurité d’Orange et est parvenu à obtenir ledit duplicata d’un client. Ce faisant, il s’est identifié sur l’application bancaire du client et a effectué des virements frauduleux.
Constatant cette usurpation, le client a déposé une plainte pénale et a sollicité la copie de la demande de duplicata. Face au refus d’Orange de transmettre ladite copie, le client a déposé une plainte auprès de l’autorité de contrôle espagnole.
Au cours de son enquête, l’autorité de contrôle, après avoir rappelé qu’Orange est responsable du traitement et que la délivrance d’une carte SIM implique un traitement de données à caractère personnel, a rappelé les obligations qui pèsent sur les opérateurs téléphoniques.
Elle a considéré que « la diligence des opérateurs est essentielle pour éviter ce type d’escroqueries » et que ces « diligences se traduisent par la mise en place de mesures adéquates pour garantir que le traitement de données est conforme au RGPD ».
Or, en l’espèce, le simple fait d’avoir fourni une carte SIM à un tiers « prouve un manquement à l’obligation de protéger les informations des clients ».
Etonnamment, l’autorité de contrôle n’a pas considéré qu’Orange avait violé les articles 5§1.f et 32 du RGPD relatifs à la sécurité, mais qu’Orange a violé l’article 6§1 du RGPD, relatif à un défaut de base légale.
Pour expliquer un tel fondement, l’autorité a considéré qu’Orange « a fourni un duplicata de SIM du plaignant à un tiers sans son consentement et sans vérifier l’identité du tiers » et donc que le traitement a été effectué en dehors de toute base légale.
Compte tenu de ce qui précède, l’autorité de contrôle espagnole a infligé à Orange une amende de 70 000 €.
Source : ici
