Orange, a récemment été victime d’une cyberattaque ciblant sa filiale roumaine. Cette intrusion, confirmé par Orange le 24 février 2025, met en lumière la vulnérabilité persistante des systèmes d’information, même parmi les groupes les plus structurés, et rappelle l’importance d’un encadrement juridique renforcé en matière de cybersécurité.
🟠 1 – Une faille exploitée dans une application back-office
La cyberattaque aurait visé une application interne utilisée par Orange Romania, l’un des principaux opérateurs mobiles en Europe de l’Est.
Selon les premières analyses, une faille de sécurité dans ce système back-office a permis à des acteurs malveillants de s’infiltrer dans les serveurs et d’accéder à des données sensibles.
Le groupe de hackers HellCat, connu pour ses activités de rançongiciels, a revendiqué l’attaque.
🟠 2 – Des données internes et sensibles compromises
Les pirates affirment avoir dérobé :
- Environ 380 000 adresses e-mail,
- Du code source appartenant à des logiciels internes,
- Des contrats et factures confidentiels,
- Des informations concernant des clients et salariés d’Orange Romania.
Le caractère hétérogène de ces données (à la fois techniques, commerciales et personnelles) rend cette fuite particulièrement préoccupante, notamment au regard du RGPD et de la directive NIS 2.
🟠 3 – Des risques pour les personnes concernées
Le vol de données personnelles expose les clients comme les salariés à de multiples risques :
- Phishing personnalisé, fondé sur les données récupérées ;
- Usurpation d’identité, notamment via les adresses e-mail ou informations contractuelles ;
- Cyberfraudes ciblant l’entreprise ou ses partenaires à l’aide des documents subtilisés.
La directive NIS 2, entrée en vigueur en janvier 2023, impose aux opérateurs de services essentiels (comme les fournisseurs de télécoms) de mettre en œuvre des mesures techniques et organisationnelles robustes pour prévenir ce type d’incident.
🟠 4 – Enjeux juridiques : RGPD, notification et responsabilité
D’un point de vue juridique, cet incident soulève plusieurs obligations :
- Notification obligatoire à l’autorité de contrôle (en l’occurrence, l’équivalent roumain de la CNIL) sous 72 heures conformément à l’article 33 du RGPD ;
- Information des personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits (article 34 RGPD) ;
- Évaluation du niveau de sécurité des systèmes conformément aux exigences de l’article 32 du RGPD ;
- Potentielle responsabilité contractuelle vis-à-vis des clients ou partenaires lésés.
Cette affaire pourrait ainsi donner lieu à des enquêtes de l’autorité de protection des données roumaine, voire à des sanctions administratives, si des manquements sont constatés dans la gestion de la sécurité ou des obligations de notification.
🟠 Conclusion
Cet incident rappelle une fois de plus que la conformité au RGPD et à la directive NIS 2 ne constitue pas une simple formalité, mais une nécessité.
Au-delà du risque de sanctions, la capacité d’une entreprise à réagir efficacement à une cyberattaque est désormais un élément important de sa réputation et de la confiance qu’elle inspire à ses clients et partenaires.
Pour en savoir plus / sources :
https://www.it-connect.fr/orange-cyberattaque-des-milliers-de-documents-internes-voles-en-roumanie/
L’Autorité de la concurrence a récemment sanctionné Apple pour avoir abusé de sa position, en raison de la manière dont la firme californienne a mis en œuvre sa fonctionnalité « App Tracking Transparency » (ATT). Introduite en avril 2021 avec iOS 14.5, cette fonctionnalité visait à renforcer la transparence sur le suivi publicitaire, mais sa mise en œuvre a soulevé de vives critiques.
Le droit à l’effacement, souvent appelé « droit à l’oubli », est l’un des droits les plus emblématiques du Règlement Général sur la Protection des Données (RGPD). Pourtant, sa mise en œuvre effective reste encore inégale, voire lacunaire, au sein de nombreuses organisations. C’est dans ce contexte que la CNIL, en coordination avec les autres autorités européennes de protection des données, a décidé d’intensifier les contrôles.
Le 25 mars 2025, la Commission nationale de l’informatique et des libertés (CNIL) a lancé une consultation publique portant sur un projet de recommandation relatif à l’usage des données de localisation des véhicules connectés. À l’heure où les voitures deviennent de véritables « objets intelligents » capables de collecter, stocker et transmettre des données en temps réel, la question de la protection de la vie privée des conducteurs prend une toute nouvelle dimension. Cette initiative s’inscrit dans une volonté d’encadrer ces traitements, souvent massifs et invisibles pour l’usager, tout en assurant un équilibre entre innovation technologique et respect des droits fondamentaux.
Le 13 novembre 2024, la Défenseure des droits a publié un rapport alarmant sur l’utilisation croissante d’algorithmes au sein des services publics français. Ce document attire l’attention sur les dérives potentielles que pourrait engendrer l’automatisation des décisions administratives. Dans un contexte où les administrations se numérisent à grande vitesse, la question de la protection des droits fondamentaux face aux technologies d’intelligence artificielle devient importante.