Orange, a récemment été victime d’une cyberattaque ciblant sa filiale roumaine. Cette intrusion, confirmé par Orange le 24 février 2025, met en lumière la vulnérabilité persistante des systèmes d’information, même parmi les groupes les plus structurés, et rappelle l’importance d’un encadrement juridique renforcé en matière de cybersécurité.
1 – Une faille exploitée dans une application back-office
La cyberattaque aurait visé une application interne utilisée par Orange Romania, l’un des principaux opérateurs mobiles en Europe de l’Est.
Selon les premières analyses, une faille de sécurité dans ce système back-office a permis à des acteurs malveillants de s’infiltrer dans les serveurs et d’accéder à des données sensibles.
Le groupe de hackers HellCat, connu pour ses activités de rançongiciels, a revendiqué l’attaque.
2 – Des données internes et sensibles compromises
Les pirates affirment avoir dérobé :
- Environ 380 000 adresses e-mail,
- Du code source appartenant à des logiciels internes,
- Des contrats et factures confidentiels,
- Des informations concernant des clients et salariés d’Orange Romania.
Le caractère hétérogène de ces données (à la fois techniques, commerciales et personnelles) rend cette fuite particulièrement préoccupante, notamment au regard du RGPD et de la directive NIS 2.
3 – Des risques pour les personnes concernées
Le vol de données personnelles expose les clients comme les salariés à de multiples risques :
- Phishing personnalisé, fondé sur les données récupérées ;
- Usurpation d’identité, notamment via les adresses e-mail ou informations contractuelles ;
- Cyberfraudes ciblant l’entreprise ou ses partenaires à l’aide des documents subtilisés.
La directive NIS 2, entrée en vigueur en janvier 2023, impose aux opérateurs de services essentiels (comme les fournisseurs de télécoms) de mettre en œuvre des mesures techniques et organisationnelles robustes pour prévenir ce type d’incident.
4 – Enjeux juridiques : RGPD, notification et responsabilité
D’un point de vue juridique, cet incident soulève plusieurs obligations :
- Notification obligatoire à l’autorité de contrôle (en l’occurrence, l’équivalent roumain de la CNIL) sous 72 heures conformément à l’article 33 du RGPD ;
- Information des personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits (article 34 RGPD) ;
- Évaluation du niveau de sécurité des systèmes conformément aux exigences de l’article 32 du RGPD ;
- Potentielle responsabilité contractuelle vis-à-vis des clients ou partenaires lésés.
Cette affaire pourrait ainsi donner lieu à des enquêtes de l’autorité de protection des données roumaine, voire à des sanctions administratives, si des manquements sont constatés dans la gestion de la sécurité ou des obligations de notification.
Conclusion
Cet incident rappelle une fois de plus que la conformité au RGPD et à la directive NIS 2 ne constitue pas une simple formalité, mais une nécessité.
Au-delà du risque de sanctions, la capacité d’une entreprise à réagir efficacement à une cyberattaque est désormais un élément important de sa réputation et de la confiance qu’elle inspire à ses clients et partenaires.
Pour en savoir plus / sources :
https://www.it-connect.fr/orange-cyberattaque-des-milliers-de-documents-internes-voles-en-roumanie/
L’intelligence artificielle (IA) transforme notre quotidien, mais son développement repose souvent sur l’exploitation de données personnelles. Dans ce contexte, la CNIL a publié, le 19 juin 2025, de nouvelles recommandations pour encadrer l’usage de la base légale de l’« intérêt légitime » pour le développement de systèmes d’intelligence artificielle. Ces recommandations visent à concilier innovation technologique et respect des droits fondamentaux. Ainsi, deux nouvelles fiches pratiques ont été publiées sur l'intelligence artificielle. La première précise les conditions d'usage de la base légale de l'intérêt légitime pour développer un système d'IA (I) et la seconde traite plus spécifiquement de la collecte de données via "moissonnage" ou "web scraping (II)
Le European Accessibility Act (EAA) – ou directive européenne sur l'accessibilité – entre en application le 28 juin 2025. Ce texte vise à renforcer l’égalité d’accès aux biens et services pour les personnes en situation de handicap, en imposant des obligations nouvelles aux entreprises privées. Il s’agit d’un changement profond dans la manière de concevoir et de fournir les produits et services numériques sur le marché européen.
Dans un arrêt du 19 novembre 2024, la Cour d’appel de Rennes a rappelé avec force qu’un prestataire informatique est tenu à une obligation d’information et de conseil renforcée, en particulier lorsqu’il intervient sur un système complexe pour un client non-professionnel du secteur dans lequel le prestataire se dit spécialiste.
Dans un arrêt du 22 mai 2025, la deuxième chambre civile de la Cour de cassation s’est exprimée sur une question qu’elle n’avait encore jamais tranché, et qui divisait les Cours d’appel, celle de savoir si le délai de huit jours visé à l’article 857 du Code de procédure civile s’appliquait aux procédures introduites devant le Président du Tribunal de commerce en matière de rétractation d’ordonnance sur requête. Dans cette affaire, afin de tenter de justifier l’existence d’actes de concurrence déloyale, une requête sur le fondement de l’article 145 du Code de procédure civile avait été déposée devant le président du Tribunal de commerce, ce dernier ayant ensuite été saisi d’une demande de rétractation de l’ordonnance prononcée.