Dans une décision du 30 décembre 2015, le Conseil d’Etat a confirmé la délibération de la Cnil du 7 août 2014 qui avait sanctionné Orange pour ne pas s’être assuré des mesures de sécurité prises par ses sous-traitants pour protéger les données personnelles confiées. Le Conseil d’Etat rappelle qu’« il résulte de l’article 34 de la loi du 6 janvier 1978 que la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable du traitement de la responsabilité qui lui incombe de préserver la sécurité des données ». Et le fait pour Orange d’avoir introduit une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants ne le dispensait pas de prendre des mesures positives destinées à assurer lui-même que la sécurité de ses données soit préservée.
Le 18 avril 2014, une intrusion illicite sur le serveur d’un sous-traitant de Gutenberg, le prestataire d’emailing d’Orange, avait permis une fuite de 1,3 million de données personnelles d’abonnés ou de prospects d’Orange. Ce dernier avait notifié l’incident à la Cnil, comme l’article 34 bis l’y oblige. A la suite de cette notification, l’autorité de contrôle avait opéré une mission de contrôle auprès des trois sociétés concernées, ce qui lui avait permis d’identifier plusieurs lacunes en termes de sécurité des données. Il était d’abord reproché à Orange de ne pas avoir procédé à un audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure lui aurait permis d’identifier la faille de sécurité. La Cnil avait également retenu qu’Orange avait envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et n’avait pas veillé à ce que les consignes de sécurité prévues dans le contrat avec Gutenberg soient portées à la connaissance de son sous-traitant.

Du fait du caractère personnel des données et du très grand nombre de personnes concernées, le Conseil d’Etat a estimé que la Cnil avait prononcé à bon droit une sanction contre Orange pour avoir méconnu ses obligations de sécurité. Sur la sanction elle-même, le Conseil d’Etat a considéré « d’une part, que l’avertissement prononcé par la délibération attaquée est proportionné à la nature et à la gravité des manquements constatés, alors même qu’il n’en est résulté qu’une atteinte à des données identifiantes non sensibles ; d’autre part, qu’eu égard à la nature des violations constatées et aux moyens humains et financiers dont disposait la société Orange pour les prévenir, la formation restreinte a pu à bon droit décider, en application du deuxième alinéa de l’article 46 de la loi du 6 janvier 1978, à titre de sanction complémentaire, que l’avertissement prononcé serait rendu public ».