La CNIL a considéré dans une réponse à une plainte qu’il n’y avait pas de manquement au RGPD alors que le site d’Orange divulgue (sans s’y être authentifié) l’adresse mail de la personne ayant souscrit à un abonnement internet Livebox lorsqu’on y accède en Wifi ou en Ethernet en étant sur le même réseaux.
Donc attention, si vous faites de la location de vacances (AirBnb) ou si vous avez un commerce qui propose du Wifi, votre adresse mail est accessible aux personnes connectées au Wifi !
Voici la réponse complète de la CNIL :
Monsieur,
Vous avez adressé à la Commission nationale de l’informatique et des libertés (« CNIL »), une réclamation à l’encontre de la société ORANGE SA relative aux conditions de sécurisation des données à caractère personnel sur le site web https://www.orange.fr/.
En particulier, vous avez indiqué à l’appui de votre réclamation qu’une fonctionnalité disponible sur le site web https://www.orange.fr/ permettrait de récupérer l’adresse électronique du client orange abonné depuis un ordinateur connecté à une Livebox.
Tout d’abord, nous vous prions de bien vouloir excuser le délai de traitement de votre dossier. Notre Commission est saisie de toujours plus de plaintes et cela a des conséquences sur leurs délais de traitement.
Dans le cadre de l’instruction de votre plainte, la Présidente de la Commission nationale de l’informatique et des libertés (CNIL) a décidé de procéder à des contrôles auprès de ORANGE SA en application de l’article 19 de la loi n° 78-17 du 6 janvier 1978 modifiée dite « Loi Informatique et Libertés ».
Lors de ces investigations, il a été constaté que pour permettre à un client de retrouver facilement l’adresse électronique Orange qui lui est associée, celle-ci s’affiche dans son espace web de connexion à sa Livebox. Cet affichage se limite à l’adresse électronique « @orange.fr » associée au compte, et ne permet pas de se connecter à ce compte sans connaître le mot de passe associé.
En outre, il a été constaté que l’affichage de l’adresse électronique nécessite d’être connecté en Ethernet ou en Wifi à la Livebox concernée, et n’est pas réalisé lorsqu’une personne est connectée au « wifi invité ».
Au regard de ces éléments et notamment des mesures de sécurité mises en œuvre par la société ORANGE SA, aucun manquement à l’article 32 n’a été retenu à l’encontre de l’organisme sur ce point.
En conséquence, je vous informe procéder à la clôture de votre réclamation.