Questions / Réponses sur la cybersécurité

25 juillet 2025

Actualités

Incident cybersécurité : Violation de données du 22 juillet 2025

Parce que votre confiance nous est essentielle, nous souhaitons vous informer d’un incident de sécurité impliquant notre base de données gérée par un prestataire informatique.

EUROPSERVEM est un groupement européen d’intérêt économique au service des œuvres de la Communauté de l’Emmanuel. Nous accompagnons nos membres dans plusieurs fonctions support, notamment la gestion des systèmes d’information. À ce titre, nous administrons les bases de données de chacun des membres de façon séparée et autonome, dans le strict respect du règlement générale sur la protection des données personnelles.

Le 22 juillet 2025, nous avons été alertés par notre prestataire informatique d’un accès non autorisé à une partie de notre base de données, à la suite d’une faille de sécurité. Les données potentiellement concernées incluent les coordonnées (ainsi que celles d’enfants mineurs s’ils ont été déclarés), les historiques de dons, et les coordonnées bancaires (type IBAN), pour les personnes ayant (ou ayant eu) un prélèvement automatique activé.

Que s’est-il passé exactement ?

Le 22 juillet 2025, nous avons été informés par notre prestataire CRM d’une intrusion informatique ayant entraîné un accès non autorisé à notre base de données. Celle-ci contenait des informations personnelles concernant nos donateurs, participants à nos événements et contacts.

Cette attaque a été rendue possible par une faille de sécurité technique dans les systèmes du prestataire, qui est aujourd’hui en cours de correction.

Quelles données ont été potentiellement concernées ?

Selon les premières analyses, les types de données concernés peuvent inclure :

Vos informations d’identité (nom, prénom, date de naissance, adresse…),
Vos coordonnées de contact (email, téléphone…),
Votre historique de dons,
Vos coordonnées bancaires (notamment IBAN),
Et, dans certains cas, des informations liées à la participation à nos événements.

Aucune donnée de carte bancaire (type numéro, cryptogramme) n’était enregistrée dans cette base.

Mon enfant est-il concerné ?

Si votre enfant a participé à l’un de nos événements, certaines de ses données d’identité et de contact peuvent être concernées (nom, prénom, date de naissance, adresse…). Aucune donnée bancaire n’était enregistrée pour les mineurs.

En tant que titulaire de l’autorité parentale, vous avez été ou serez informé directement.

Mes données ont-elles été utilisées de manière frauduleuse ?

À ce jour, aucun usage frauduleux n’a été identifié. Mais par principe de précaution, nous vous recommandons :

De surveiller vos relevés bancaires,
De signaler immédiatement à votre banque tout mouvement inhabituel,
D’être vigilant face à d’éventuelles tentatives de phishing (emails, appels suspects…).

Que peut-on faire avec mon IBAN si celui-ci a été subtilisé ?

En soi, un IBAN seul (c’est-à-dire sans accès à votre compte ou à des identifiants bancaires complets) ne permet pas de faire un prélèvement ou un paiement à votre place. En revanche, il peut théoriquement être utilisé pour tenter de mettre en place un prélèvement frauduleux, ou pour mener des campagnes d’hameçonnage ciblées (phishing).

C’est pourquoi nous vous recommandons, à titre de précaution :

de surveiller attentivement les mouvements sur vos comptes bancaires ;
de signaler à votre banque la situation afin qu’elle soit vigilante ;
et de ne jamais transmettre de codes d’accès, mots de passe ou documents bancaires à la suite d’un appel ou d’un message, même s’il semble provenir d’un organisme connu.

Qu’est-ce que je risque si on a récupéré mon adresse mail et/ou postale, et/ou mon numéro de mobile ?

Ces informations seules ne permettent pas un usage frauduleux direct, mais elles peuvent être utilisées pour des tentatives de fraude ou d'usurpation d’identité, comme :

l’envoi de courriers ou de SMS frauduleux (phishing), se faisant passer pour une administration ou un organisme de confiance ;
des appels téléphoniques frauduleux incitant à transmettre des données sensibles ou bancaires.

Par mesure de précaution, nous vous recommandons :

d’être vigilant face à tout message suspect, notamment ceux vous demandant de cliquer sur un lien ou de fournir des informations personnelles ;
de ne jamais transmettre de données sensibles par téléphone ou message ;
et, en cas de doute, de contacter directement l’organisme officiel concerné.

Quelles mesures avons-nous prises ?

Dès la découverte de l’incident :

Nous avons activé notre cellule de crise,
Nous avons renforcé la sécurité des accès à nos outils,
Nous travaillons avec un cabinet indépendant spécialisé en cybersécurité,
Notre prestataire CRM a engagé des actions correctives immédiates, et de sécurisation, et de protection, de tous ses accès

À qui puis-je m’adresser si j’ai des questions ?

Notre Délégué à la Protection des Données (DPO) est à votre disposition pour répondre à vos questions et traiter vos demandes liées à vos droits et à cet incident.

📧 Contact DPO : contact-rgpd@europservem.fr

Êtes-vous transparents sur la situation ?

Oui. Nous avons informé :

Les personnes concernées directement,
Les autorités compétentes (CNIL),
Nos collaborateurs et partenaires internes,
Les autorités judiciaires par le dépôt d’une plainte

Nous tenons à faire preuve de transparence, sans minimiser la gravité de la situation, tout en rappelant que nous sommes victimes de cette attaque, et que nous avons immédiatement mis en œuvre toutes les mesures nécessaires.

Que comptons-nous faire à l’avenir ?

Cet incident nous engage à aller plus loin encore :

Audit complet de notre gestion des données,
Renforcement des exigences contractuelles vis-à-vis de nos prestataires,
Formations complémentaires de nos équipes internes sur la sécurité des données.

Notre engagement : protéger, informer, agir

Nous vous remercions pour votre confiance et restons pleinement mobilisés pour protéger vos données, vous tenir informé et mettre en œuvre toutes les actions nécessaires.