Nous sommes conscients que dans un contexte où les usages numériques sont en expansion, la sécurité et la protection des données personnelles sont des enjeux majeurs. Tout un chacun attend des acteurs du monde numérique une protection accrue de ses données, une transparence sur l’utilisation qui peut en être faite et une information en cas de compromission. En tant qu’acteur majeur du numérique en Europe, en Afrique et au Moyen-Orient, nous sommes conscients de nos responsabilités. Nous nous positionnons comme un acteur de confiance, en faisant de la sécurité et de la protection des données personnelles une priorité stratégique, pilotée au plus haut niveau du Groupe.
Protection des données personnelles chez Orange : de quoi parle-t-on ?
Avec l‘explosion de leurs activités en ligne, les utilisateurs partagent de plus en plus d’informations, souvent confidentielles ou sensibles, ce qui les expose à des risques accrus d’usurpation d’identité, de fraude ou de perte de confidentialité.
Les données personnelles sont des données relatives à l’identité de la personne (nom, adresse électronique, numéro de téléphone, adresse...), des données liées à leurs moyens de paiement (coordonnées bancaires, numéros de cartes de paiement, …), des données de localisation, des identifiants, des mots de passe. Elles concernent toutes les catégories de personnes, salariés, clients et utilisateurs des services d’Orange.
Toutes ces données circulent sur nos réseaux et dans nos systèmes d’informations. Les protéger relève de notre responsabilité et de notre statut d’opérateur de confiance dont la raison d’être « Orange est l’acteur de confiance qui donne à chacune et à chacun les clés d’un monde numérique responsable » structure et irrigue nos décisions.
Une priorité stratégique pour l’ensemble du groupe Orange
L’ambition d’être un acteur de confiance, en particulier sur la protection des données de nos clients, a été réaffirmée dans notre plan stratégique Lead The Future. Nous en avons fait l’un des piliers d’engagement de notre responsabilité sociétale.
Nous nous engageons à respecter les droits des utilisateurs relatifs à leurs données, selon les règlementations locales et internationales, et notamment à donner à chacun le droit de maitriser les traitements réalisés par Orange. Aussi nous nous engageons à respecter la transparence sur l’utilisation de ces données dans toutes les étapes de la relation avec nos clients.
La sécurité des données de nos clients est une priorité absolue qui mobilise l'ensemble du Groupe, nos partenaires et nos fournisseurs. Au sein d’Orange, nous nous appuyons sur l'expertise de nos spécialistes en cybersécurité et sur la mobilisation de l’ensemble de nos salariés. Le suivi de cette politique de sécurité et de protection des données personnelles du Groupe est contrôlé par la Direction générale
Quelles mesures Orange met-il en œuvre pour la protection des données personnelles ?
Nous nous conformons aux cadres juridiques en vigueur dans les pays où nous exerçons une activité, comme le Règlement Général sur la Protection des Données (RGPD) de l’UE, les lois nationales et les textes issus de la stratégie numérique de l'UE.
Une politique spécifique « Protection des Données Personnelles » a été définie pour le Groupe et s’applique tant en interne qu’avec l’ensemble des partenaires ou prestataires du Groupe.
Des comités et un réseau de Data Protection Officers et de référents « données personnelles » ont été mis en place pour accompagner nos projets. Nous avons également défini et mis à disposition des procédures et des guides spécifiques sur la protection des données personnelles à la disposition de tous les salariés.
Le suivi de ce cadre est présenté au Comité exécutif qui en rend compte au conseil d’administration.
Comment Orange garantit-il une sécurité et un pilotage des risques efficaces ?
Notre Politique de Sécurité Groupe définit nos grands principes en ligne avec nos objectifs stratégiques. Elle s'applique à l'ensemble de nos géographies et de nos activités, et respecte les lois et les règlementations internationales et nationales.
Basée sur un pilotage précis des risques et des menaces, cette politique exigeante répond aux besoins de nos clients ainsi qu'aux exigences fixées par les régulateurs et les autorités, en particulier celles chargées de la protection des données personnelles ou de la résilience des réseaux.
Notre gouvernance de la sécurité s'appuie sur les standards internationaux, tels que les normes ISO 27001 pour la sécurité de l’information et ISO 27005 pour l’analyse de risques. Ces standards permettent de renforcer le pilotage de la sécurité des entités, en offrant un cadre commun au niveau du Groupe.
Le suivi de la mise en œuvre de la politique sécurité est présenté deux fois par an au Comité exécutif qui en rend compte au conseil d’administration.
Comment Orange maîtrise-t-il son propre risque cyber ?
Nous évaluons en permanence notre propre risque cyber via l’outil Cyberating en attribuant une note de A à F aux entités en fonction de leur exposition réelle, compte tenu des plans d’action mis en œuvre selon la politique du Groupe. Les vulnérabilités des sites web, la solidité du cryptage, la réputation des adresses IP, la protection des e-mails et la présence de données sur le Dark Web sont analysées grâce à cet outil. Nous ambitionnons une note « B » en 2024 et une note « A » en 2025 pour notre score global dont le suivi sera documenté.
La sécurité et la protection des données personnelles : l’affaire de tous chez Orange
Nous sensibilisons, formons l’ensemble des salariés du Groupe et recrutons des experts au sein de notre filiale Orange Cyberdefense pour faire face aux menaces qui s’intensifient et aux évolutions technologiques qui s’accélèrent.
Notre programme de recrutement est ambitieux puisqu’au sein d’Orange Cyberdefense, 600 experts en cybersécurité ont été recrutés en 2023.
Nous nous engageons à former l'ensemble de nos salariés pour que la sécurité devienne une pratique réflexe au quotidien. Notre programme « Cyber Ready » destiné à tous nos salariés comprend des modules de sensibilisation sur les cybermenaces et les gestes protecteurs. Nous publions également sur notre intranet une charte de protection des données des salariés, une politique interne du Groupe en matière de protection des données, et un guide général sur la protection des données personnelles diffusé en 5 langues.
Nous avons obtenu plusieurs certifications attestant de la qualité des moyens mis en œuvre pour renforcer la protection des actifs du Groupe et ceux de nos clients.
Charte sur la Protection des Données Personnelles du Groupe Orange
Notre Charte sur la protection des données personnelles montre notre engagement à respecter les principes internationaux de protection des données et des droits fondamentaux. Elle complète notre politique interne et s'applique à toutes nos entités et collaborateurs, partout dans le monde