Après la fuite, la facture !

TRIBUNE
Écrit par Emma Suire

Les opérateurs téléphoniques peuvent-ils faire payer la protection des usagers ?

Tribune OEDN – Observatoire européen des droits numériques

Introduction

Le problème n’est pas seulement qu’un opérateur téléphonique vende un service de cybersécurité payant. Le problème est la chronologie et ce qu’elle révèle.

Des données de clients sont compromises lors d’attaques visant l’opérateur ; les personnes concernées supportent ensuite les conséquences concrètes (phishing, hameçonnage, appels frauduleux, vigilance accrue, charge mentale) ; puis, dans le même écosystème, une offre payante de “protection” est mise en avant pour se prémunir contre ces risques. L’offre Orange Cybersecure promet notamment blocage d’appels indésirables, protection contre les menaces (phishing, virus, logiciels espions, “vol de vos données”) et accompagnement cyber. (Orange Boutique)

Cette séquence soulève une question de principe pour l’OEDN : peut-on transformer la vulnérabilité des usagers en opportunité commerciale sans placer au centre la réparation des préjudices subis ?

1. Le grand absent du discours commercial : la réparation du préjudice subi par les clients

La page commerciale Orange Cybersecure met en avant une logique de prévention, de filtrage, d’assistance et de “sérénité” (anti-spam appels, spécialistes cyber, protection jusqu’à 10 appareils, etc.). Elle ne se présente pas comme un mécanisme d’indemnisation des clients en cas de fuite de données liée aux systèmes de l’opérateur. (Orange Boutique)

Or, du point de vue des personnes concernées, la question centrale après une fuite n’est pas seulement :
“Comment me protéger à l’avenir ?”
mais aussi :
“Qui répare ce que j’ai déjà subi ?”

Cette question est d’autant plus importante que les incidents récents relayés dans la presse spécialisée ont concerné des données clients et des exfiltrations / accès non autorisés (France / Belgique), dans un contexte où Orange avait d’abord indiqué ne disposer d’aucun élément laissant penser à une exfiltration, avant que des publications de données ne soient rapportées ultérieurement. (L'Usine Digitale)

👉 Selon OEDN : la protection commerciale ne doit pas faire écran à la question juridique de la réparation.

2. Une asymétrie structurelle : la valeur des données est captée, le coût du risque est supporté par les usagers

C’est ici que ta critique est la plus forte — et la plus juste.

Les données personnelles ont une valeur économique et opérationnelle pour les acteurs numériques (relation client, marketing, segmentation, gestion de services, etc.). Dans le même temps, lorsqu’une fuite ou une compromission survient, ce sont les personnes concernées qui absorbent les conséquences les plus immédiates :

  • risque accru de phishing / hameçonnage,

  • appels malveillants / usurpation,

  • surveillance des comptes,

  • changement de mots de passe,

  • stress, anxiété, charge mentale,

  • temps perdu à se sécuriser.

Parallèlement, Orange promeut un pack payant comme moyen de “renforcer davantage votre protection” face à la hausse des cyberattaques, tout en précisant que certaines briques (comme la signalisation des appels indésirables sur smartphone via l’app Orange et Moi) sont déjà incluses gratuitement, l’option ajoutant notamment une couche de blocage / services complémentaires. (Orange Boutique)

👉 Thèse OEDN : il existe une double asymétrie :

  1. la valeur des données est captée en amont par l’écosystème ;

  2. le coût du risque et de la protection est reporté en aval sur les usagers.

C’est précisément ce déséquilibre que ton analogie avec l’État et la police illustre :
on ne peut pas normaliser l’idée qu’un acteur fasse payer, en supplément, une protection contre des risques qui touchent ses propres usagers, sans débat équivalent sur la responsabilité et la réparation.

3. L’obligation de sécurité n’est pas une option commerciale : la “sur-protection” payante ne doit pas masquer le socle dû

En droit, la sécurité des traitements de données n’est pas un simple argument marketing. Le RGPD impose au responsable du traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées au risque (art. 32), et prévoit un droit à réparation en cas de dommage matériel ou moral causé par une violation du règlement (art. 82), sous réserve des conditions de preuve.

Autrement dit :

  • le socle de sécurité relève d’une obligation,

  • tandis que les offres “cyber” grand public relèvent d’une sur-couche commerciale.

Le problème apparaît lorsque la communication commerciale donne le sentiment que la “bonne” protection dépend surtout d’une souscription payante, alors que la sécurité de base et la protection des données des clients relèvent déjà d’obligations structurelles.

Les conditions spécifiques Orange Cybersecure elles-mêmes rappellent d’ailleurs que le service vise à “limiter les risques”, non à les supprimer, et qu’aucun dispositif logiciel n’offre de protection absolue ; elles indiquent aussi qu’Orange ne garantit pas l’absence de perte de données en cas d’infection de l’équipement terminal du client.

👉 Lecture OEDN : l’existence de ces limites contractuelles n’est pas anormale en soi. Ce qui est problématique, c’est qu’elles coexistent avec une économie du discours centrée sur la protection, sans mise en visibilité proportionnée de la question “et si le dommage est déjà là, qui répare ?”

4. La vraie question pour l’OEDN : veut-on un marché de la peur, ou une justice numérique ?

La cybersécurité grand public répond à un besoin réel. Mais elle ne peut pas devenir le substitut d’un débat sur :

  • la responsabilité des grands collecteurs de données,

  • la réparation effective des préjudices subis par les personnes concernées,

  • la transparence sur ce qui relève de l’obligation légale vs de l’option payante.

Le risque, sinon, est de fabriquer une logique perverse :

  1. les données circulent et créent de la valeur ;

  2. les fuites et attaques augmentent l’exposition des usagers ;

  3. les usagers paient pour se protéger ;

  4. la réparation reste incertaine, individualisée, difficile à obtenir.

C’est ce renversement que l’OEDN conteste.

Position OEDN

L’OEDN considère qu’il est légitime de proposer des services additionnels de cybersécurité, mais illégitime de laisser croire que la réponse principale au risque cyber doit être achetée par les personnes concernées, alors même que :

  • les acteurs collecteurs demeurent débiteurs d’obligations de sécurité,

  • et que la question de la réparation des préjudices causés par les atteintes aux données reste insuffisamment visible et structurée dans le débat public.

Conclusion

Le sujet n’est pas de refuser toute offre de cyberprotection.
Le sujet est de refuser un modèle dans lequel, après la fuite, la première réponse visible devient la facture.

La cybersécurité ne doit pas être pensée uniquement comme un marché de services. Elle doit aussi être pensée comme une question de responsabilité, de réparation et de justice numérique.

On ne peut pas durablement monétiser la protection des usagers sans traiter, avec la même intensité, la réparation des préjudices qu’ils subissent lorsque leurs données sont compromises.

Ce que demande l’OEDN

3 propositions concrètes pour rééquilibrer la protection des usagers face aux opérateurs téléphoniques

1) Une information loyale et standardisée sur les offres “cyber”

L’OEDN demande que toute offre de cybersécurité commercialisée par un opérateur téléphonique fasse l’objet d’une présentation claire, standardisée et compréhensible, distinguant explicitement :

  • ce qui relève des obligations légales de sécurité de l’opérateur ;

  • ce qui est déjà inclus gratuitement dans l’offre principale ;

  • ce qui constitue un service additionnel payant ;

  • les limites réelles du service (périmètre, exclusions, absence de garantie absolue, conditions techniques).

👉 Objectif : éviter que le consommateur confonde sécurité due et protection optionnelle vendue.

2) Un mécanisme lisible d’accompagnement et de réparation des clients en cas de fuite de données

L’OEDN demande que, lors d’une atteinte aux données affectant des clients, les opérateurs mettent en place un dispositif visible et accessible comprenant :

  • une information rapide et intelligible sur les risques concrets (phishing, hameçonnage, usurpation, etc.) ;

  • un accompagnement gratuit post-incident (mesures de sécurisation, vérifications, assistance dédiée) ;

  • une voie claire d’orientation vers la réclamation et l’indemnisation des préjudices subis (matériels et moraux), sans renvoyer les usagers à une opacité procédurale.

👉 Objectif : replacer la réparation au cœur de la réponse, et non uniquement la prévention payante.

3) Un principe de non-transfert excessif du coût de la protection vers les usagers

L’OEDN demande qu’un principe de vigilance (et, à terme, d’encadrement) s’applique aux opérateurs : ils ne doivent pas faire reposer principalement sur les consommateurs, via des options payantes, le coût de protection contre des risques cyber systémiques affectant leurs propres services et leurs propres clients.

Ce principe implique :

  • une responsabilisation renforcée des acteurs collecteurs de données ;

  • une transparence sur la logique économique des offres de protection ;

  • un débat public sur la juste répartition des coûts entre opérateurs et usagers.

👉 Objectif : éviter que la cybersécurité devienne un mécanisme de déplacement du risque et du coût vers les personnes déjà exposées.

Emma Suire
Suivant

Les conditions d’ouverture de l’indemnisation du préjudice au titre de l’article 82 RGPD