La société Orange a demandé au Conseil d’Etat d’annuler la délibération du 7 août 2014 par laquelle la Commission nationale de l’informatique et des libertés (Cnil) a prononcé à son encontre un avertissement pour ne pas s’être assuré des mesures de sécurité prises par ses sous-traitants pour protéger les données personnelles confiées.

Dans un arrêt rendu le 30 décembre 2015, le Conseil d’Etat précise qu' »il résulte de l’article 34 de la loi du 6 janvier 1978 que la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable du traitement de la responsabilité qui lui incombe de préserver la sécurité des données […] ».
En l’espèce, la seule mention, dans le contrat liant la société Orange à son prestataire d’une obligation de sécurité mise à la charge de ce dernier « ne dispensait pas la société Orange de prendre des mesures destinées à s’assurer elle-même que la sécurité de ses données était préservée ».
Or, il ressort des termes de la délibération attaquée que la société Orange n’a pas fait procéder à un audit de sécurité sur l’application qui avait été spécialement définie pour la prospection commerciale de ses clients, a utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel et n’a pas veillé à ce que les consignes de sécurité prévues contractuellement avec son prestataire soient portées à la connaissance du prestataire secondaire.
Dès lors, la Haute juridiction administrative considère qu’eu égard au caractère personnel des données qui ont fait l’objet d’un accès illicite et au nombre très important des personnes concernées, la Cnil a pu à bon droit estimer que la société Orange avait méconnu les obligations mises à sa charge par l’article 34 de la loi du 6 janvier 1978.