Les 10 plus grandes fuites de données en France [2026]

1. Introduction#

La France est devenue l'une des juridictions les plus touchées par les violations de données en Europe. Entre 2024 et 2025, plus de 145 millions de dossiers appartenant à des citoyens français ont été exposés dans les services publics, la santé, les télécommunications et la vente au détail, ce qui signifie que statistiquement, chaque résident français a fait partie de plusieurs fuites. Selon la CNIL, plus de 5 600 notifications de violations ont été reçues en 2024, un nouveau record historique.

Cet article répertorie les 10 violations de données les plus importantes de l'histoire récente en France, des 43 millions d'enregistrements exposés lors de l'incident de France Travail à la fuite du logiciel de santé Cegedim Santé, en passant par les règles de signalement de la CNIL, les amendes et les modèles de prévention qui s'appliquent à toute organisation opérant en France.

2. Pourquoi la France est-elle une cible attrayante pour les violations de données ?#

Le secteur public français hautement numérisé, son écosystème de paiement de la santé dense et ses trois grands opérateurs de télécommunications détenant chacun des dizaines de millions de dossiers d'abonnés se combinent pour produire une surface d'attaque démesurée. Ajoutez à cela un sous-investissement chronique dans la cybersécurité par rapport à des pays comparables et une ingénierie sociale ciblant les conseillers de première ligne, et le résultat est la série record de violations que la France a connue en 2024-2026.

2.1 Un secteur public hautement numérisé#

La France possède l'une des piles de gouvernement électronique les plus avancées d'Europe. FranceConnect, la fédération nationale de l'identité, achemine l'accès aux impôts, à la santé, à l'emploi et aux prestations familiales. Un seul compte conseiller compromis peut donc exposer des dossiers couvrant des décennies, comme on l'a vu avec France Travail, Pass'Sport et l'OFII. Le secteur public détient les données des citoyens du berceau à la tombe, créant ainsi une concentration de dossiers sensibles inégalée en ampleur.

2.2 Un écosystème dense de sous-traitants tiers#

L'assurance maladie française s'appuie sur un petit nombre de plateformes de « tiers payant » (Viamedis, Almerys, Cegedim) qui traitent les données de dizaines de mutuelles. Une intrusion se propage donc à des dizaines de millions d'assurés. Le même schéma est visible dans les télécommunications (la violation de Bouygues Telecom en 2025 via un fournisseur tiers) et dans le e-commerce. Même les organisations disposant de programmes de sécurité interne matures restent exposées par l'intermédiaire de leurs réseaux de fournisseurs.

2.3 Sous-investissement chronique dans la cybersécurité#

Des analyses indépendantes telles que Edouard.ai estiment que les dépenses publiques françaises en cybersécurité s'élèvent à environ 0,03 % du PIB (une estimation, et non un chiffre officiel), soit un niveau nettement inférieur à celui de pays européens comparables. Historiquement, les amendes moyennes de la CNIL sont restées inférieures à celles des organismes de réglementation européens, ce qui a réduit l'effet dissuasif financier d'une sécurité laxiste, un écart que l'autorité de réglementation est en train de combler en imposant des sanctions records contre Free Mobile, France Travail et d'autres.

2.4 Ingénierie sociale et lacunes du MFA#

Plusieurs des incidents français les plus importants (France Travail, Viamedis, Free) ont commencé par des opérations de phishing ou de piratage de comptes sur des portails de conseillers ou d'employés qui n'appliquaient pas de MFA résistant au phishing. Dans chaque cas, les attaquants ont ciblé les humains en périphérie plutôt que l'infrastructure centrale. L'Alliance FIDO classe les clés d'accès comme résistantes au phishing par conception, car chaque clé d'accès est liée à l'origine légitime et ne peut pas être rejouée contre des sites contrôlés par des attaquants. Les services publics et les opérateurs de télécommunications français qui n'ont pas encore déployé de clés d'accès ou d'authentification par voie matérielle restent exposés à la même classe d'attaques.

3. Les 10 plus grandes violations de données en France#

Les dix plus grandes violations de données en France depuis 2023 ont exposé au moins 145 millions d'enregistrements cumulés et déclenché des amendes de la CNIL totalisant 47 millions d'euros en janvier 2026. Elles concernent les services publics (France Travail, Pass'Sport), les plateformes de santé (Viamedis, Almerys, Cegedim Santé), les télécommunications (Free, Bouygues Telecom) et la vente au détail (ManoMano, Sport 2000). Le tableau ci-dessous résume la portée, l'année et les conséquences réglementaires ; des descriptions détaillées des cas et des modèles de prévention suivent.

3.1 Fuite de données France Travail (2024)#

En mars 2024, France Travail (anciennement Pôle Emploi) et Cap Emploi ont révélé ce qui est aujourd'hui considéré comme la plus importante violation de données de l'histoire de France. Les pirates ont utilisé l'ingénierie sociale pour détourner les comptes des conseillers de Cap Emploi (l'organisation de soutien aux personnes handicapées) et ont accédé aux données de toutes les personnes inscrites au cours des 20 dernières années, ainsi qu'aux candidats ayant un profil sur francetravail.fr. Selon la CNIL, jusqu'à 43 millions de personnes pourraient être touchées.

Le 22 janvier 2026, la CNIL a condamné France Travail à une amende de 5 millions d'euros en vertu de l'article 32 du RGPD, alors que le plafond légal pour un organisme public est de 10 millions d'euros. Le régulateur a invoqué la « méconnaissance des principes de sécurité essentiels » et a ordonné des mesures correctives sous peine d'une astreinte de 5 000 euros par jour. Il s'agissait déjà de la deuxième violation pour France Travail : en août 2023, un incident tiers lié au groupe de ransomware Cl0p exploitant un zero-day de MOVEit Transfer avait déjà exposé les données de 10 millions d'utilisateurs.

Méthodes de prévention :

• Appliquer un MFA résistant au phishing (clés d'accès) pour tous les comptes conseillers et administrateurs accédant aux données de masse des citoyens
• Appliquer des règles de détection des anomalies pour les requêtes en masse et des règles strictes de conservation des données sur les bases de données citoyennes

3.2 Fuite de données ManoMano (2026)#

En février 2026, le géant français du bricolage en ligne ManoMano a été cité par des acteurs de la menace dans une vente de données référencée sur de nombreux trackers de cybersécurité français. L'acteur a affirmé avoir compromis jusqu'à 37,8 millions de dossiers clients, y compris des données d'identité, des coordonnées et des informations administratives. L'ampleur de la revendication correspond à la base d'utilisateurs cumulée de la plateforme dans l'UE plutôt qu'aux clients actifs français, mais l'incident reste l'une des ventes de données liées à la France les plus importantes jamais observées en termes de volume.

Cette exposition souligne à quel point les grandes places de marché grand public en France sont devenues des cibles tout aussi attrayantes pour les attaquants que les banques ou les opérateurs de télécommunications, en particulier lorsque les données peuvent être combinées à des fuites antérieures pour créer des « graphiques d'identité » à des fins de fraude.

Méthodes de prévention :

• Surveiller en permanence les forums clandestins et les places de marché de données pour détecter les listes de clients exposées et appliquer des limites strictes de taux d'API sur les terminaux clients
• Minimiser la conservation des profils clients historiques ou peu actifs

3.3 Fuite de données Viamedis et Almerys (2024)#

En janvier et février 2024, Viamedis et Almerys, deux processeurs français de paiement par un tiers pour l'assurance maladie complémentaire, ont été compromis à tour de rôle. La CNIL a confirmé que, combinés, les incidents ont touché 33 millions de personnes, soit près de la moitié de la population française.

L'intrusion chez Viamedis a été tracée jusqu'à une attaque de phishing ciblant des professionnels de santé, permettant aux attaquants de réutiliser les identifiants volés sur le portail des prestataires. On soupçonne Almerys d'avoir été touché via un portail professionnel de santé similaire.

Méthodes de prévention :

• Déployer un MFA résistant au phishing (clés d'accès) pour tout professionnel de santé accédant aux données des assurés
• Segmenter les plateformes de tiers-payant afin qu'un portail compromis ne puisse pas exposer la base de données nationale entière

3.4 Fuite de données Free (2024)#

En octobre 2024, Free (deuxième FAI de France et filiale du groupe Iliad) a confirmé que des pirates avaient compromis un outil de gestion interne et exfiltré les données de 19,46 millions de contrats Free Mobile et de 5,17 millions de contrats Freebox, y compris les IBAN de l'ensemble des 5,11 millions de clients Freebox. Les données ont été rapidement mises aux enchères sur BreachForums par un acteur de la menace connu sous le nom de « drussellx », la dernière enchère atteignant 175 000 euros.

Free a souligné que les mots de passe, les données de cartes de paiement et le contenu des communications n'étaient pas concernés, mais la combinaison de l'IBAN, du nom complet et de la date de naissance est suffisante pour la fraude aux prélèvements automatiques et le phishing de haute qualité. Le 13 janvier 2026, la CNIL a sanctionné Free Mobile à hauteur de 27 millions d'euros et Free à hauteur de 15 millions d'euros (42 millions d'euros au total) pour une sécurité insuffisante autour des données des abonnés, l'une des sanctions combinées au titre du RGPD les plus importantes jamais prononcées en France pour une violation de données.

Méthodes de prévention :

• Protéger les outils internes à privilèges avec un MFA résistant au phishing et un accès juste-à-temps
• Tokeniser les IBAN et les identifiants de paiement afin que les dossiers des abonnés ne soient pas directement monétisables

3.5 Fuite de données Cegedim Santé (MLM) (2025)#

En octobre 2025, des pirates informatiques ont violé « MonLogicielMedical.com » (MLM), un logiciel de gestion de cabinet médical édité par Cegedim Santé et utilisé par des milliers de professionnels de santé français. Selon le ministère de la Santé, l'incident a compromis les données administratives d'environ 15 millions de patients français, couvrant jusqu'à 15 ans d'historique et 19 millions de lignes d'enregistrements numériques.

Dans sa mise au point de février 2026, Cegedim Santé a déclaré que les données en cause étaient exclusivement administratives (informations de type identité telles que le nom, le prénom et le sexe), et que les dossiers cliniques structurés, les commentaires médicaux en texte libre et les diagnostics sensibles tels que le statut VIH n'étaient pas concernés. Une enquête pénale pour « atteinte à un système de traitement automatisé de données » a été ouverte le 27 octobre 2025.

Méthodes de prévention :

• Appliquer une authentification forte (clés d'accès) pour chaque praticien accédant à un logiciel médical cloud
• Appliquer une minimisation stricte des données et une séparation entre les données d'identité administratives et les dossiers cliniques dans les plateformes médicales SaaS

3.6 Fuite MOVEit de France Travail (2023)#

Avant l'incident très médiatisé de 2024, France Travail avait déjà été victime d'une violation liée à un tiers, attribuée au groupe de ransomware Cl0p exploitant une vulnérabilité zero-day dans le logiciel Progress MOVEit Transfer. L'attaque a exposé les informations personnelles d'environ 10 millions de demandeurs d'emploi, notamment les noms, les NIR et les coordonnées. Elle s'inscrivait dans le cadre de la vague mondiale d'attaques de la chaîne d'approvisionnement MOVEit qui a touché des centaines d'organisations dans le monde entier, et laissait présager la fuite de données encore plus importante en 2024 dont a été victime la même agence.

Méthodes de prévention :

• Maintenir un inventaire à jour des logiciels tiers de transfert de fichiers exposés à Internet et appliquer des correctifs virtuels (virtual patching) pour la fenêtre d'exposition aux menaces zero-day
• Segmenter les pipelines de transfert de fichiers pour les séparer des bases de données principales RH et citoyennes

3.7 Fuite de données Bouygues Telecom (2025)#

Le 4 août 2025, Bouygues Telecom, l'un des principaux opérateurs mobiles français avec environ 14,5 millions d'abonnés mobiles et une base client totale de près de 23 millions, a détecté une cyberattaque visant un système de gestion de la clientèle. Deux jours plus tard, la société a confirmé que des pirates avaient eu accès aux données personnelles et contractuelles de 6,4 millions de clients, notamment leurs numéros de compte bancaire international (IBAN). Les mots de passe et les numéros de carte de paiement n'ont pas été compromis.

La violation, supposée provenir d'un fournisseur tiers, a été signalée à la CNIL et à l'ANSSI. Conformément à l'article 323-1 du Code pénal français, l'attaquant encourt jusqu'à trois ans d'emprisonnement pour accès non autorisé à un système de traitement de données automatisé, peine portée à cinq ans lorsque des données sont modifiées ou le système altéré. Bouygues Telecom est, de son côté, dans le collimateur de la CNIL au titre du RGPD concernant sa gestion des risques liés aux tiers. L'incident s'inscrit dans un scénario plus vaste qui a également frappé SFR (septembre 2025, coordonnées bancaires) et Free en 2024-2025.

Méthodes de prévention :

• Traiter les fournisseurs tiers comme faisant partie de la principale surface d'attaque et imposer l'utilisation d'une authentification multifacteur (MFA) résistante au phishing sur l'ensemble des systèmes connectés
• Tokeniser les IBAN et d'autres identifiants de paiement afin de limiter l'intérêt de vols de données massifs

3.8 Fuite de données Pass'Sport (décembre 2025)#

Le Pass'Sport est un programme gouvernemental français géré par le ministère des Sports qui offre une aide de 70 euros (auparavant 50 euros) aux jeunes éligibles pour l'adhésion à un club sportif. Dans la nuit du 17 au 18 décembre 2025, un fichier de 15 Go contenant plus de 22 millions de lignes de données est apparu en ligne. De premiers rapports des médias ont imputé à tort cette fuite à la Caisse d'Allocations Familiales (CAF), laquelle a publiquement démenti toute intrusion sur caf.fr. Le ministère des Sports a ensuite confirmé que les données provenaient du système d'information du Pass'Sport, englobant environ 3,5 millions de foyers et 6,4 millions d'adresses e-mail uniques de bénéficiaires, de leurs parents ou de leurs tuteurs.

Les dossiers exposés couvraient la période de septembre 2024 à novembre 2025 et incluaient les identités complètes, les adresses postales, les numéros de téléphone et les adresses e-mail, mais aucune donnée bancaire ni aucun mot de passe. Le jeu de données s'avère particulièrement utile pour le déploiement de phishing ciblé visant les familles avec mineurs. Depuis lors, une grande partie a d'ailleurs été indexée dans la base Have I Been Pwned.

Méthodes de prévention :

• Appliquer la protection la plus stricte possible aux systèmes de traitement des données des mineurs, en imposant notamment l'utilisation du MFA résistant au phishing à l'attention des administrateurs
• Limiter la durée de conservation des données des bénéficiaires suivant l'expiration du programme

3.9 Fuite de données Sport 2000 (2024)#

En avril 2024, le distributeur français d'articles de sport Sport 2000 a été victime d'une fuite de données qui a ensuite été indexée par Have I Been Pwned. Un acteur de la menace agissant sous le pseudo « ChatNoir7331 » a mis en vente sur un forum de piratage une base de données de 4,4 millions de lignes comportant 3,2 millions d'adresses e-mail uniques. L'ensemble de données a par la suite été republié gratuitement en juin 2024. La fuite comprenait les noms, les adresses e-mail et postales, les numéros de téléphone, les dates de naissance et l'historique détaillé des achats rattachés à des emplacements de magasins spécifiques.

L'association de données de contact et de l'historique d'achat par magasin rend la fuite des données de Sport 2000 particulièrement précieuse pour de futures opérations de phishing ultra ciblées (« votre achat récent chez Sport 2000 Lyon... ») et illustre parfaitement la capacité qu'ont les distributeurs français de taille moyenne à générer des brèches de la taille d'une base de données grand public en cas de mauvaise segmentation des bases de données marketing.

Méthodes de prévention :

• Segmenter les bases de données marketing et de transactions, et assurer la rotation des jetons d'accès exploités par les outils marketing tiers
• Restreindre la conservation de l'historique des achats rattaché à des clients identifiables

3.10 Fuite de données de la Fédération Française de Football (2025)#

En 2025, la Fédération Française de Football (FFF) a dévoilé une violation ayant exposé les données personnelles de ses membres licenciés. La FFF publie les données d'environ 2,38 millions de membres licenciés pour la saison 2023-2024. Conformément à l'avis de « vol de données » émis par la FFF, l'incident portait sur les données d'identité et de contact (noms, dates de naissance, numéros de licence et certains documents d'identité) et excluait de manière formelle les données relatives à la santé. L'incident de la FFF s'inscrit dans le cadre d'une vague d'attaques ayant également frappé la Fédération Française de Voile, la Fédération Française de Gymnastique, la Fédération Française de Tir, parmi tant d'autres. Cette situation vient attester de l'attractivité des fédérations sportives françaises aux yeux des pirates, de par leurs vastes ensembles de données à caractère historique et leurs budgets en matière de sécurité informatique comparativement plus modestes.

Méthodes de prévention :

• Accorder la priorité à l'investissement dans la cybersécurité des fédérations et organismes sans but lucratif hébergeant des données de membres datant de plusieurs décennies
• Supprimer les historiques de données désormais superflus pour la gestion des licences

4. Comment signaler une violation de données en France#

Les contrôleurs français ont l'obligation de notifier toute violation de données à caractère personnel à la CNIL dans un délai de 72 heures après en avoir pris connaissance, en vertu de l'article 33 du RGPD. Si la violation est susceptible d'entraîner un risque élevé pour les personnes concernées, l'article 34 du RGPD impose de les avertir dans les meilleurs délais. Les opérateurs d'importance vitale (OIV) et de services essentiels (OSE) informent par ailleurs l'ANSSI. La transposition de la directive NIS2 dans le droit français suivait par ailleurs son cours en 2026.

4.1 La règle des 72 heures du RGPD (Article 33)#

Au titre de l'Article 33 du RGPD, un contrôleur est tenu d'avertir la CNIL de toute violation de données à caractère personnel au plus tard 72 heures après en avoir pris connaissance. En cas de retard, il est dans l'obligation de présenter une justification. La notification se doit de préciser la nature de la violation, les catégories et le nombre de victimes potentiel, ses éventuelles conséquences, de même que les mesures appliquées ou proposées.

4.2 Autorité de tutelle : la CNIL#

Contrairement à l'Allemagne qui compte 16 DPA étatiques, la France bénéficie d'une instance de surveillance unifiée à l'échelle de la nation : la Commission Nationale de l'Informatique et des Libertés (CNIL). Elle assure le respect du RGPD pour les organismes publics et du domaine privé et s'avère dotée du pouvoir d'infliger des amendes administratives pouvant grimper jusqu'à 20 millions d'euros, soit 4 % du chiffre d'affaires mondial annuel de l'organisme, le montant le plus élevé étant retenu. De récentes sanctions cumulées infligées à Free Mobile et Free (42 millions d'euros, dont 27 pour Free Mobile) et à France Travail (5 millions d'euros) traduisent l'évolution de la politique de la CNIL, passée du stade des recommandations à celui des mesures coercitives.

4.3 Signalement à l'ANSSI pour les OIV, OSE et NIS2#

Les opérateurs d'importance vitale (OIV) et les opérateurs de services essentiels (OSE) sont par ailleurs appelés à avertir l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, de tout incident cyber significatif. La directive NIS2 élargit ce signalement obligatoire à un grand nombre de secteurs d'activité, à commencer par les prestataires de services numériques, les industries manufacturières ou encore la gestion des déchets. Sa transposition dans le droit français s'étendant à 2026, l'ANSSI a fait savoir qu'elle communiquerait des informations tout au long du processus, de son côté la Commission Européenne ayant également rendu un avis motivé concernant l'état d'avancement encore partiel de cette transposition. Lors de son entrée en vigueur, les signalements seront soumis à un calendrier graduel : une première alerte sous 24 heures, puis une notification détaillée dans un délai de 72 heures et un compte rendu final au bout d'un mois.

4.4 Information des personnes concernées (Article 34)#

Lorsqu'une violation est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques, l'article 34 du RGPD exige une communication immédiate envers les victimes par le biais d'un langage clair et accessible. Le cas de France Travail, de Viamedis, de Free ou de Cegedim Santé ont tous donné lieu au respect des obligations inhérentes à l'article 34. Le manquement à cette obligation constitue le déclencheur typique d'une sanction réglementaire qui vient s'ajouter à l'infraction de base.

5. Les tendances en matière de fuites de données en France#

Quatre constats émanent de ces dix affaires : la sur-centralisation des informations citoyennes au niveau de services publics ultra-numérisés ; les vulnérabilités liées aux fournisseurs ou partenaires externes devenues la clé de voûte des offensives ; le credential stuffing qui tend à muer les portails grand public en des proies de choix ; puis le tournant répressif amorcé par la CNIL en termes de politique d'application. Saisir la teneur de ces phénomènes s'avère dès lors bien plus profitable qu'un éventuel inventaire cas par cas des atteintes portées à la confidentialité des données.

5.1 La numérisation des services publics génère une surface d'attaque généralisée à l'échelle nationale#

France Travail, l'OFII, le FICOBA, de même que le Pass'Sport : la quantité d'informations rattachées aux citoyens concentrée entre les mains de quelques plateformes publiques atteste de l'ampleur du risque encouru. La compromission d'un seul et unique compte conseiller de Cap Emploi a eu pour effet la divulgation de près de 43 millions de dossiers, un cas de figure à mettre en parallèle avec l'exposition aux risques de 3,5 millions de ménages découlant de la fuite des données d'un prestataire œuvrant pour le Pass'Sport. En France, la dépendance systématique à FranceConnect avec sa dimension unificatrice sur le plan des identifiants vient par ailleurs accroître ce degré de risque : de fait, un identifiant piraté ou un mot de passe fuité dès lors qu'il est assorti d'un NIR permet, par voie de conséquence, de déverrouiller au même instant plusieurs portails étatiques.

5.2 Les sous-traitants tiers constituent un maillon faible critique#

Viamedis, Almerys, Cegedim Santé, Bouygues Telecom, sans omettre l'intrusion MOVEit de France Travail perpétrée en 2023 : l'ensemble de ces organismes sont tous le fruit d'une faille provenant de leurs fournisseurs, et non de la marque éditrice. Preuve que même des entités jouissant pourtant de programmes cyber internes particulièrement structurés restent exposées par le simple biais du réseau des prestataires extérieurs auxquels elles ont recours. C'est à cet égard, le modèle de santé axé sur le tiers payant par lequel une infime poignée d'opérateurs en assurance ont à leur charge la gestion du flux de données liées à plusieurs dizaines de mutuelles qui s'avère particulièrement propice, du fait même de cette unicité du point de défaillance, aux violations à grande échelle.

5.3 Le "credential stuffing" tend à muer les portails publics en cibles de choix#

Le credential stuffing s'impose désormais comme le prolongement inéluctable consécutif à une fuite survenant sur le sol français. Au mois de février 2024, il est apparu que LulzSec, un groupement de pirates informatiques est parvenu à compromettre près de 600 000 comptes de la CAF par simple exploitation de mots de passe, ce sans requérir aucune brèche d'ordre purement technique au niveau du portail caf.fr. En outre, une fuite distincte en août 2024 rendue publique sur un forum spécialisé a entraîné le dévoilement d'un volume complémentaire de l'ordre de 60 369 couples d'identifiants (NIR associé à un mot de passe). Dès lors, tant que l'administration publique française en restera au mot de passe classique, toute brèche signalée au travers de l'Europe équivaudra inévitablement à ouvrir grand la porte à la pratique du credential stuffing et des attaques répétées.

5.4 La CNIL amorce un rattrapage de son action coercitive#

À l'aube du mois de janvier 2026, la CNIL a délaissé les rappels à l'ordre pour endosser un rôle ouvertement répressif. Elle a, en date du 13 janvier 2026, sanctionné Free Mobile, ainsi que Free, à hauteur de 42 millions d'euros conjointement (soit 27 pour la première, et 15 pour la seconde entité), avant de viser l'organisme France Travail le 22 janvier avec une pénalité de 5 millions d'euros, cela, sur les fondements du RGPD article 32, sachant que pour les acteurs du secteur public le plafond est de l'ordre de 10 millions d'euros. Sur un plan plus général, la CNIL infligeait auparavant des montants d'amendes significativement en retrait au regard des seuils que tolère le RGPD. Dans un contexte qui s'accompagne par ailleurs de la systématisation de recours collectifs pour dommages selon l'article 82, l'entité de régulation s'est désormais inscrite en matière d'application à l'échelon observé du côté allemand, hollandais ou irlandais.

6. Conclusion#

C'est l'histoire que racontent de manière constante les dix plus grandes failles que l'Hexagone a essuyées au cours des dernières années : les failles provenant des moyens d'identification, auxquelles s'ajoute le défaut de maîtrise quant aux accès alloués aux acteurs externes sont en la matière la trame du drame. Qu'il s'agisse des collaborateurs pris au piège par du personnel usant de méthodes d'ingénierie sociale (France Travail), ou encore de professionnels de la santé tombant dans la nasse des tentatives de phishing (Viamedis) en passant par l'intrusion des espaces de gestion par des cybercriminels du fait de l'accès aux dispositifs internes (Free), ou d'un échec imputable aux fournisseurs ou partenaires (Pass'Sport et Bouygues Telecom), le talon d'Achille de chacune des affaires en question s'avère identique, une authentification via un classique mot de passe requise que ce soit pour les intervenants que pour les sous-traitants pour l'accès aux systèmes regroupant les historiques de données.

Toutefois, la réplique existe au travers de l'adoption de l'authentification résistante au hameçonnage, de l'encadrement impérieux de l'intervention de tiers et une veille permanente portant sur l'écosystème du web profond, sans omettre la disposition aux exigences du RGPD requérant une réaction vis-à-vis des notifications de fuite au bout de 72 heures au profit de l'autorité compétente. À partir du moment où celle-ci recourt désormais à des sanctions se chiffrant, par exemple, à huit ou neuf zéros, il apparaît manifeste que les groupes ou administrations qui considéreront, au courant de 2026, comme prépondérant ce volet éviteront l'affront à la fois financier, d'un point de vue pécuniaire et, du point de vue moral, ce même affront synonyme de décrédibilisation dont a eu à pâtir le territoire au long des trois années antérieures.

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →

Foire aux questions#

Qu'est-ce que la violation de données de France Travail en 2024 ?#

En mars 2024, France Travail (anciennement Pôle Emploi) et Cap Emploi ont divulgué la plus importante violation de données de l'histoire de France. Les attaquants ont utilisé l'ingénierie sociale pour détourner les comptes des conseillers de Cap Emploi et ont exfiltré les données personnelles d'environ 43 millions de demandeurs d'emploi au cours des 20 dernières années, y compris les noms, les dates de naissance, les numéros de sécurité sociale, les identifiants France Travail et les coordonnées. Le 22 janvier 2026, la CNIL a condamné France Travail à une amende de 5 millions d'euros en vertu de l'article 32 du RGPD, le plafond légal pour un organisme public étant de 10 millions d'euros.

Comment signaler une violation de données en France ?#

En vertu de l'article 33 du RGPD, les responsables du traitement français doivent informer la CNIL dans les 72 heures après avoir pris connaissance d'une violation de données personnelles. Si la violation est susceptible d'entraîner un risque élevé pour les personnes concernées, l'article 34 exige de les informer sans délai indu. Les opérateurs d'importance vitale (OIV) et les opérateurs de services essentiels (OSE) informent l'ANSSI en vertu de la législation française existante ; la transposition complète de la directive NIS2 en droit français était encore en cours en 2026.

Quelle est la plus grosse amende jamais infligée par la CNIL après une violation de données en France ?#

Le 13 janvier 2026, la CNIL a conjointement infligé une amende de 27 millions d'euros à Free Mobile et de 15 millions d'euros à Free (soit 42 millions d'euros au total) pour une sécurité inadéquate ayant contribué à une violation en 2024 exposant 24,6 millions de contrats, dont 5,11 millions d'IBAN. Il s'agit de l'une des plus importantes sanctions combinées en vertu du RGPD jamais prononcées en France pour une violation de données. France Travail a écopé d'une amende de 5 millions d'euros le 22 janvier 2026 au titre de l'article 32.

Pourquoi la France est-elle devenue une cible privilégiée pour les violations de données ?#

La France combine un secteur public hautement numérisé (France Travail, CAF, DGFiP, OFII), un écosystème de paiement de santé dense (Viamedis, Almerys, Cegedim) et trois grands opérateurs de télécommunications qui détiennent chacun des dizaines de millions de dossiers d'abonnés. Le sous-investissement chronique dans la cybersécurité par rapport au PIB, la forte dépendance à l'égard de plateformes tierces et les attaques d'ingénierie sociale contre les conseillers en contact avec le public expliquent pourquoi plus de 145 millions de dossiers français ont été exposés entre 2024 et 2025.

Comment les violations de données en France alimentent-elles les attaques par credential stuffing ?#

Les fuites exposent des adresses e-mail, des numéros de sécurité sociale et souvent des mots de passe qui s'échangent sur les forums du dark web. Les assaillants rejouent ces identifiants contre des banques, des services publics et des détaillants, en exploitant la réutilisation des mots de passe. L'incident de la CAF de février 2024 a compromis jusqu'à 600 000 comptes purement par credential stuffing, sans aucune violation technique de caf.fr, démontrant à quel point les violations françaises continuent d'alimenter les attaques longtemps après leur divulgation.