Le 22 juillet 2025, nous avons été informés par notre prestataire CRM d’une intrusion informatique ayant entraîné un accès non autorisé à notre base de données. Celle-ci contenait des informations personnelles concernant nos donateurs, participants à nos événements et contacts.

Cette attaque a été rendue possible par une faille de sécurité technique dans les systèmes du prestataire, qui est aujourd’hui en cours de correction.

Selon les premières analyses, les types de données concernés peuvent inclure :

• Vos informations d’identité (nom, prénom, date de naissance, adresse…),
• Vos coordonnées de contact (email, téléphone…),
• Votre historique de dons,
• Si vous êtes donateur en prélèvement automatique uniquement, vos coordonnées bancaires (notamment IBAN),
• Et, dans certains cas, des informations liées à la participation à nos événements.

Aucune donnée de carte bancaire (type numéro, cryptogramme) n’était enregistrée dans cette base.

Si votre enfant a participé à l’un de nos événements, certaines de ses données d’identité et de contact peuvent être concernées (nom, prénom, date de naissance, adresse…). Aucune donnée bancaire n’était enregistrée pour les mineurs.

En tant que titulaire de l’autorité parentale, vous avez été ou serez informé directement.

À ce jour, aucun usage frauduleux n’a été identifié. Mais par principe de précaution, nous vous recommandons :

• De surveiller vos relevés bancaires, uniquement pour les donateurs en prélèvement automatique,
• De signaler immédiatement à votre banque tout mouvement inhabituel,
• D’être vigilant face à d’éventuelles tentatives de phishing (emails, appels suspects…).

En soi, un IBAN seul (c’est-à-dire sans accès à votre compte ou à des identifiants bancaires complets) ne permet pas de faire un prélèvement ou un paiement à votre place. En revanche, il peut théoriquement être utilisé pour tenter de mettre en place un prélèvement frauduleux, ou pour mener des campagnes d’hameçonnage ciblées (phishing).

Si d’autres données personnelles telles que votre nom, prénom, numéro de téléphone et mail ont également été dérobées, nous vous recommandons d’être particulièrement vigilants : 

• surveillez attentivement les mouvements sur vos comptes bancaires ;
• signalez à votre banque la situation afin qu’elle soit vigilante ;
• ne transmettez jamais de codes d’accès, mots de passe ou documents bancaires à la suite d’un appel ou d’un message, même s’il semble provenir d’un organisme connu et même si votre interlocuteur possède de nombreuses informations sur vous,
• soyez vigilant, en particulier face à tout message ou appel suspect se réclamant de l’association, et vérifiez tout mail venant du Rocher

Ces informations seules ne permettent pas un usage frauduleux direct, mais elles peuvent être utilisées pour des tentatives de fraude ou d’usurpation d’identité, comme :

• l’envoi de courriers ou de SMS frauduleux (phishing), se faisant passer pour une administration ou un organisme de confiance ;
• des appels téléphoniques frauduleux incitant à transmettre des données sensibles ou bancaires.

Par mesure de précaution, nous vous recommandons :

• d’être vigilant face à tout message suspect, notamment ceux vous demandant de cliquer sur un lien ou de fournir des informations personnelles ;
• de ne jamais transmettre de données sensibles par téléphone ou message ;
• et, en cas de doute, de contacter directement l’organisme officiel concerné.

Le système de prélèvement reste actif et sécurisé. Les mesures de sécurité sur l’environnement informatique ont été renforcées immédiatement après l’incident, et les prestataires bancaires impliqués continuent d’assurer un haut niveau de vigilance. Nous vous conseillons de prévenir votre banque.
Il n’est pas nécessaire d’interrompre votre prélèvement, sauf à titre personnel si vous le souhaitez.

Un IBAN seul ne permet pas à un tiers de retirer de l’argent de votre compte. Il pourrait toutefois éventuellement être utilisé dans des tentatives de fraude, par exemple pour mettre en place un prélèvement frauduleux (c’est un fait rare et facilement contestable) ou pour envoyer un message d’hameçonnage personnalisé (phishing).

C’est pourquoi nous recommandons à titre préventif :

• de surveiller vos mouvements bancaires,

• d’alerter votre banque afin qu’elle soit vigilante,

• de ne jamais transmettre de données bancaires ou personnelles par téléphone ou par email.

Non, il n’est pas nécessaire de suspendre votre prélèvement. Les flux bancaires restent sécurisés, et les IBAN ne permettent pas de réaliser un virement sans votre consentement.

Dès la découverte de l’incident :

• Nous avons renforcé la sécurité des accès à nos outils,
• Notre prestataire CRM a engagé des actions correctives immédiates, et de sécurisation, et de protection, de tous ses accès,
• Nous avons contractualisé avec un cabinet indépendant spécialisé en cybersécurité.

Dès la découverte de l’incident :

• Nous avons activé notre cellule de crise,
• Nous avons renforcé la sécurité des accès à nos outils,
• Nous travaillons avec un cabinet indépendant spécialisé en cybersécurité,
• Notre prestataire CRM a engagé des actions correctives immédiates, et de sécurisation, et de protection, de tous ses accès

Notre Délégué à la Protection des Données (DPO) est à votre disposition pour répondre à vos questions et traiter vos demandes liées à vos droits et à cet incident.

• Le Rocher Oasis des cités : rgpd-assolerocher@europservem.fr
• Le Rocher – Antenne de Nîmes : rgpd-lerocherroubaix@europservem.fr
• Le Rocher – Antenne de Roubaix : rgpd-lerochernimes@europservem.fr

Cet incident nous engage à aller plus loin encore :

• Audit complet de notre gestion des données,
• Renforcement des exigences contractuelles vis-à-vis de nos prestataires,
• Formations complémentaires de nos équipes internes sur la sécurité des données.