Génie civil d'Orange : l'audit Arcep confirme la non-discrimination, une leçon de gouvernance fournisseur pour les DPO
L'Arcep a publié le 7 juillet 2026 son bilan d'audit sur les systèmes d'information (SI) qu'Orange met à disposition des opérateurs tiers pour accéder à ses infrastructures de génie civil — gaines souterraines, poteaux, fourreaux — utilisées pour déployer la fibre optique. Verdict globalement satisfaisant, avec un point de friction identifié et déjà corrigé par l'opérateur historique. Une actualité télécoms en apparence éloignée du RGPD, mais qui offre aux DPO une méthode d'audit directement transposable à leurs propres sous-traitants.
Ce qui s'est passé
Le régulateur des communications électroniques mène régulièrement des audits des SI mobilisés par les opérateurs d'infrastructure pour la fourniture de prestations d'accès à leurs réseaux. Après des travaux similaires sur les réseaux FttH d'Orange, SFR et Iliad, l'Arcep a cette fois audité les SI utilisés par Orange en tant que propriétaire des infrastructures de génie civil — un actif que rien ne permet de dupliquer économiquement, puisqu'il représente jusqu'à 70 % des coûts de déploiement d'une boucle locale optique.
L'objectif : vérifier que pour des prestations comparables, les opérateurs tiers et les branches internes d'Orange (Orange elle-même et Orange Concessions) accèdent aux mêmes informations, aux mêmes outils et aux mêmes délais. Sur la majorité des parcours — mise à disposition des informations préalables, service après-vente via l'outil « eSAV » — l'audit n'a relevé aucune discrimination : mêmes règles de traitement, même chaîne d'outils pour tous les demandeurs.
Un point d'attention a toutefois été identifié : lorsqu'un opérateur choisit de réaliser lui-même les travaux de remplacement de poteaux, les modalités de commande n'étaient pas identiques pour Orange et pour les opérateurs tiers. Orange a pris acte de cette conclusion et a fait évoluer ses processus dès le premier trimestre 2026, pour que la commande de poteaux repose sur des outils et parcours communs à tous. L'Arcep demande par ailleurs le renforcement de certains indicateurs de suivi, notamment pour objectiver que les écarts de performance observés (taux de rejet des dossiers de fin de travaux, par exemple) ne sont pas liés au traitement réservé par Orange à ses propres demandes.
Pourquoi c'est important pour les DPO
Cet audit repose sur un principe que tout DPO reconnaîtra immédiatement : un acteur qui contrôle une infrastructure incontournable ne doit pas s'accorder, via ses propres processus internes, des conditions plus favorables que celles offertes aux tiers qui en dépendent. C'est exactement la logique qui sous-tend l'obligation d'audit des sous-traitants au titre de l'article 28 du RGPD : un responsable de traitement doit s'assurer que son prestataire présente des garanties suffisantes, documentées et vérifiables, et non de simples déclarations d'intention.
La méthode employée par l'Arcep est transposable telle quelle à un audit de sous-traitant RGPD : comparer les outils et parcours utilisés en interne à ceux proposés aux clients, vérifier l'existence d'indicateurs de suivi mesurables, et s'assurer qu'aucun traitement de faveur ne s'exerce silencieusement au détriment des obligations contractuelles. Ce sujet n'est pas isolé : l'Arcep avait déjà, sur le volet cloud, encadré les frais de changement de fournisseur et de transfert de données en multi-cloud — un autre cas où la dépendance à un prestataire dominant fragilise la capacité de l'organisation à faire valoir ses droits contractuels, y compris ses clauses de réversibilité au sens de l'article 28.
Ce que ça change pour les organisations
Pour les DPO et RSSI qui pilotent des relations avec des fournisseurs d'infrastructure critique — hébergeur, opérateur télécom, prestataire cloud —, trois réflexes découlent directement de cet audit. D'abord, exiger contractuellement la communication d'indicateurs de suivi mesurables (délais, taux de rejet, disponibilité) plutôt que de se contenter d'un engagement de moyens général. Ensuite, être particulièrement vigilant lorsque le fournisseur combine une position d'infrastructure quasi incontournable avec une activité commerciale concurrente de la vôtre : le risque de traitement différencié y est structurellement plus élevé, qu'il s'agisse de génie civil télécom ou de plateformes cloud intégrées verticalement. Enfin, s'appuyer sur ce type d'audit sectoriel comme référence méthodologique lors de la rédaction d'un questionnaire de sécurité et de conformité fournisseur : les questions posées par l'Arcep à Orange (mêmes outils, mêmes règles, mêmes délais pour tous) sont directement réutilisables face à n'importe quel sous-traitant en position de force.
Ce que Leto pense de cette décision
Cet audit Arcep n'a rien d'une actualité RGPD au sens strict, et c'est justement ce qui en fait un cas d'école utile. Il rappelle qu'une bonne gouvernance fournisseur ne se limite pas à collecter des clauses contractuelles : elle exige des indicateurs vérifiables et un mécanisme de contrôle récurrent, exactement ce que l'article 28 attend d'un responsable de traitement vis-à-vis de ses sous-traitants. Que le sujet soit la fibre optique ou l'hébergement de données personnelles, la question posée est toujours la même : le fournisseur applique-t-il, mesurablement, les mêmes règles à tout le monde ? Les DPO qui négocient aujourd'hui avec des prestataires en position dominante gagneraient à s'inspirer de cette grille de lecture plutôt qu'à se contenter d'un audit déclaratif annuel.

