Les 10 plus grandes violations de données en Allemagne [2026]
Découvrez les 10 plus grandes violations de données en Allemagne, du piratage du Bundestag à Samsung 2025. Coûts, amendes RGPD et prévention expliqués.
![Les 10 plus grandes violations de données en Allemagne [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_fr_blog_violations_de_donnees_allemagne_3d2c4860eb2a_1bbf9471d3.png&w=3840&q=75)
Cette page a été traduite automatiquement. Consultez la version originale en anglais ici.
- Le coût moyen d'une violation de données en Allemagne a atteint 4,9 millions d'euros en 2024 (environ 5,31 millions de dollars US), plaçant l'Allemagne parmi les cinq pays les plus chers au monde (rapport IBM 2024 sur le coût d'une violation de données).
- L'Allemagne signale constamment le plus grand nombre de notifications de violation du RGPD en Europe, avec plus de 77 000 notifications cumulées depuis l'entrée en vigueur du RGPD en mai 2018 et environ 32 000 au cours d'une seule année d'enquête (enquête DLA Piper sur les amendes et les violations de données du RGPD 2021 et 2024).
- L'amende de 35,3 millions d'euros infligée à H&M Nuremberg en 2020 est la plus grande amende RGPD jamais émise par une autorité allemande.
- La violation de données de Samsung Allemagne de mars 2025 a exposé environ 270 000 dossiers clients via le fournisseur tiers Spectos, l'incident tiers le plus médiatisé du pays en 2025.
- Les responsables du traitement allemands doivent signaler les violations à l'autorité de contrôle compétente (généralement l'une des 16 autorités de protection des données des Länder, ou le BfDI pour les organismes fédéraux et les fournisseurs de télécommunications/postes) dans un délai de 72 heures en vertu de l'article 33 du RGPD.
1. Introduction#
L'Allemagne est la première économie européenne et l'une des juridictions les plus touchées par les violations de données sur le continent. Le coût moyen d'une violation de données en Allemagne a atteint 4,9 millions d'euros en 2024 (environ 5,31 millions de dollars US), classant le pays parmi les cinq plus chers au monde selon le rapport IBM 2024 sur le coût d'une violation de données. Depuis l'entrée en vigueur du RGPD, les organisations allemandes ont déposé plus de notifications que tout autre État membre de l'UE.
Livre blanc Passkey entreprise. Conseils pratiques, modèles de déploiement et KPIs pour les programmes passkeys.
Cet article répertorie les 10 violations de données les plus importantes de l'histoire allemande, du piratage du Bundestag en 2015 à la fuite de Samsung Allemagne en 2025, aux côtés des règles de déclaration, des amendes RGPD et des modèles de prévention qui s'appliquent à toute organisation opérant en Allemagne.
Articles récents
🔑
Pourquoi la gestion sécurisée des documents est-elle essentielle pour les entreprises modernes ?
♟️
Problèmes du jour 2 des clés d'accès : 5 risques après le lancement
♟️
Pourquoi même votre mot de passe le plus complexe sera bientôt craqué
♟️
Réutilisation des mots de passe au Japon : toujours à 84 % [2026]
♟️
Le rôle de l'IA dans la détection des cybermenaces
2. Pourquoi l'Allemagne est-elle une cible attrayante pour les violations de données ?#
La position de l'Allemagne en tant que puissance industrielle européenne, son rôle géopolitique au sein de l'OTAN et de l'UE, ainsi qu'un régime de protection des données fragmenté en 16 autorités, se combinent pour produire une surface d'attaque démesurée. Les attaquants ciblent les entreprises allemandes pour leur propriété intellectuelle de grande valeur dans les secteurs de l'automobile, de la chimie, de l'ingénierie et de la finance. Les groupes parrainés par des États ciblent les institutions politiques. Les fournisseurs de taille moyenne (Mittelstand) dotés de défenses plus faibles sont exploités comme point d'entrée vers de plus grandes entreprises.
2.1 Puissance industrielle dotée d'une propriété intellectuelle de grande valeur#
L'Allemagne abrite des marques mondialement reconnues dans l'automobile (Volkswagen, BMW, Mercedes-Benz), l'ingénierie (Siemens, Bosch), la chimie (BASF, Bayer) et la finance (Deutsche Bank, Allianz). Ces entreprises détiennent des secrets commerciaux, des données de fabrication, des pipelines de R&D et des dossiers clients. Cette concentration de propriété intellectuelle de grande valeur fait des organisations allemandes une cible prioritaire pour les cybercriminels motivés par l'appât du gain et les groupes d'espionnage parrainés par des États cherchant un avantage concurrentiel.
2.2 Importance géopolitique et menaces étatiques#
Le rôle de l'Allemagne au sein de l'OTAN, de l'UE et du G7 la place dans la ligne de mire des opérations parrainées par des États. Le groupe lié à la Russie APT28 (Fancy Bear) a ciblé à plusieurs reprises le Bundestag et les partis politiques. Les autorités allemandes ont formellement attribué le piratage du Bundestag de 2015 à l'unité 26165 du GRU russe en 2020. Le soutien de l'Allemagne à l'Ukraine depuis 2022 a intensifié ces menaces, avec de multiples cas d'attribution confirmés par le BSI et les procureurs allemands.
2.3 Un paysage réglementaire complexe et le défi du Mittelstand#
L'Allemagne applique le RGPD par l'intermédiaire de 16 autorités individuelles de protection des données au niveau des Länder, produisant un paysage de contrôle fragmenté. Le Mittelstand allemand, constitué de dizaines de milliers de petites et moyennes entreprises, traite des données industrielles et clients sensibles mais manque souvent de ressources de cybersécurité de niveau entreprise. Cela crée une surface d'attaque large et inégale que les cybercriminels exploitent activement via la chaîne d'approvisionnement et les vecteurs tiers.
Testez les passkeys dans une démo en direct.
3. Les 10 plus grandes violations de données en Allemagne#
Le tableau ci-dessous résume les dix plus grandes violations de données en Allemagne par portée, année et résultat réglementaire. Des descriptions détaillées des cas et des modèles de prévention suivent ci-dessous.
| # | Entreprise / Entité | Année | Dossiers ou Portée | Résultat réglementaire |
|---|---|---|---|---|
| 1 | Méga-fuite d'identifiants allemands | 2014 | 16 millions de paires e-mail/mot de passe | Pré-RGPD |
| 2 | Bundestag allemand | 2015 | 16 Go, 5 000+ PC | Attribution étatique (2020) |
| 3 | Fuite de données d'hommes politiques allemands | 2018/19 | ~1 000 personnalités publiques | Poursuites pénales |
| 4 | Knuddels.de | 2018 | 1,8 million (330 000 confirmés) | Amende RGPD de 20 000 EUR |
| 5 | Mastercard Priceless Specials | 2019 | 90 000 membres | Enquêtes ouvertes |
| 6 | H&M Nuremberg | 2014-19 | Plusieurs centaines d'employés | Amende RGPD de 35,3 millions d'euros |
| 7 | Scalable Capital | 2020 | 33 000 clients | Dommages-intérêts de 2 500 EUR par client |
| 8 | Hôpital universitaire de Düsseldorf | 2020 | 30 serveurs, arrêt d'urgence | Enquête pour homicide |
| 9 | Motel One | 2023 | 6 To, détails de 150 cartes | Coopération avec les forces de l'ordre |
| 10 | Samsung Allemagne / Spectos | 2025 | ~270 000 dossiers clients | Examen du BfDI en cours |
3.1 Méga-fuite d'identifiants allemands (2014)#
| Détails | Informations |
|---|---|
| Date | Avril 2014 (divulgué par le BSI) |
| Nombre de clients touchés | Environ 16 millions de combinaisons e-mail/mot de passe |
| Données violées | - Adresses e-mail - Mots de passe - Identifiants de connexion pour les services en ligne |
En avril 2014, l'Office fédéral allemand de la sécurité des technologies de l'information (BSI) a confirmé que la police du nord de l'Allemagne avait découvert environ 16 millions d'adresses e-mail et de mots de passe volés. Cela faisait suite, trois mois plus tôt, à une prise similaire de 16 millions d'identifiants compromis, ce qui en faisait la plus grande fuite d'identifiants de l'histoire allemande à l'époque. Environ 3 millions d'identifiants appartenaient à des citoyens allemands. Les données volées étaient activement utilisées pour des achats en ligne non autorisés et des fraudes à l'identité.
Cette découverte a mis en évidence la réutilisation systémique des mots de passe et la vulnérabilité des services en ligne face aux attaques basées sur les identifiants. Le BSI a lancé un site de recherche public pour que les citoyens puissent vérifier si leurs identifiants étaient compromis.
Méthodes de prévention :
- Déployer une MFA résistante au phishing, comme les passkeys, pour éliminer le risque de réutilisation des identifiants
- Surveiller les vidages d'identifiants sur le dark web et forcer les réinitialisations en cas d'exposition
3.2 Piratage du Bundestag allemand (2015)#
| Détails | Informations |
|---|---|
| Date | Mai 2015 (détecté), attribué en 2020 |
| Nombre de clients touchés | 5 000+ ordinateurs, 16 Go exfiltrés, e-mails des députés |
| Données violées | - E-mails des députés - Documents parlementaires internes - Données administratives - Données du bureau du vice-chancelier |
En mai 2015, le réseau interne du Parlement fédéral allemand a été piraté lors de l'une des cyberattaques parrainées par un État les plus importantes de l'histoire de l'Allemagne. APT28 (Fancy Bear / Sofacy), une unité du service de renseignement militaire russe GRU, a utilisé des e-mails de harponnage (spear-phishing) déguisés en communications de l'ONU pour installer des logiciels malveillants. Les attaquants ont obtenu un accès administratif, compromis plus de 5 000 ordinateurs et exfiltré environ 16 Go de données, dont des dizaines de milliers d'e-mails parlementaires.
L'ensemble de l'environnement informatique du Bundestag a dû être mis hors ligne et reconstruit. L'Allemagne a formellement attribué l'attaque à l'unité 26165 du GRU en 2020 et a émis un mandat d'arrêt international contre Dmitriy Badin. L'incident est devenu un tournant dans la politique de cybersécurité allemande.
Méthodes de prévention :
- Appliquer des contrôles anti-phishing et une authentification résistante au phishing pour les utilisateurs du gouvernement
- Appliquer la segmentation du réseau et l'accès au moindre privilège pour limiter les mouvements latéraux
3.3 Fuite de données d'hommes politiques allemands (2018/2019)#
| Détails | Informations |
|---|---|
| Date | Décembre 2018 (divulgué en janvier 2019) |
| Nombre de clients touchés | Environ 1 000 personnalités publiques |
| Données violées | - Numéros de téléphone et adresses - Données de cartes de crédit et financières - Journaux de chat privés - Photos personnelles - Documents d'identité |
En décembre 2018, un étudiant hessois de 20 ans a orchestré ce qui a été qualifié de la plus grande fuite de données personnelles de personnalités publiques de l'histoire de l'Allemagne. Au cours d'une campagne de publication façon calendrier de l'Avent sur Twitter, l'attaquant a publié des données personnelles volées de plus de 1 000 politiciens, journalistes et célébrités allemands, dont la chancelière Angela Merkel et le président Frank-Walter Steinmeier. Les données comprenaient des numéros de téléphone privés, des adresses personnelles, des informations de carte de crédit, des journaux de discussion personnels et des photographies.
L'auteur a été arrêté en janvier 2019. Il n'avait aucune formation formelle en informatique et avait agi seul. L'affaire a mis en évidence une mauvaise hygiène numérique parmi l'élite politique allemande.
Méthodes de prévention :
- Appliquer une MFA forte sur tous les comptes personnels et officiels
- Exécuter une surveillance du dark web pour détecter les identifiants exposés liés aux fonctionnaires
3.4 Violation de données de Knuddels.de (2018)#
| Détails | Informations |
|---|---|
| Date | Juillet 2018 (divulgué en septembre 2018) |
| Nombre de clients touchés | Environ 330 000 confirmés (jusqu'à 1,8 million touchés) |
| Données violées | - Adresses e-mail - Noms d'utilisateur - Mots de passe stockés en texte clair - Vrais noms et adresses |
En juillet 2018, la célèbre plateforme de discussion allemande Knuddels.de a été violée par des pirates informatiques qui ont accédé à environ 1,8 million de dossiers d'utilisateurs, dont un fichier de mots de passe non chiffrés. Les données volées ont été publiées sur Pastebin et Mega en septembre 2018. La violation a été retracée jusqu'à un serveur de sauvegarde obsolète qui n'avait pas reçu de mises à jour de sécurité.
La violation de Knuddels a déclenché la toute première amende RGPD en Allemagne : l'autorité de protection des données du Bade-Wurtemberg (LfDI) a imposé 20 000 EUR pour le stockage de mots de passe en texte clair, en violation de l'article 32 du RGPD. L'autorité a félicité Knuddels pour sa transparence et sa coopération, établissant un précédent important pour l'application du RGPD en Allemagne.
Méthodes de prévention :
- Remplacer le stockage des mots de passe en texte clair par un hachage moderne (bcrypt, Argon2) ou des flux sans mot de passe
- Corriger et mettre hors service les anciens systèmes de sauvegarde et de pré-production selon un calendrier strict
3.5 Violation de Mastercard Priceless Specials (2019)#
| Détails | Informations |
|---|---|
| Date | Août 2019 |
| Nombre de clients touchés | Environ 90 000 personnes |
| Données violées | - Noms complets - Numéros de cartes de paiement - Adresses e-mail et postales - Numéros de téléphone - Dates de naissance et sexe |
En août 2019, le programme de fidélité allemand de Mastercard "Priceless Specials" a subi une violation qui a exposé les informations personnelles d'environ 90 000 membres. Deux fichiers de données contenant des noms, des numéros de carte de paiement, des adresses e-mail, des adresses postales, des numéros de téléphone, des sexes et des dates de naissance ont été publiés sur Internet. Les mots de passe, les dates d'expiration des cartes et les codes CVC n'étaient pas inclus, mais les données exposées créaient tout de même des risques importants de fraude et de vol d'identité.
La violation a été retracée jusqu'à un fournisseur de services tiers qui exploitait Priceless Specials en Allemagne. Mastercard a suspendu le programme, fermé le site et informé les autorités de protection des données allemandes et belges. Des dizaines de plaintes formelles ont suivi, soulignant le risque lié aux fournisseurs tiers, même pour les grandes institutions financières.
Méthodes de prévention :
- Imposer des audits de sécurité, des accords de niveau de service (SLA) sur la notification des violations et des exigences de chiffrement à chaque fournisseur tiers
- Surveiller en permanence les plateformes externes qui traitent les informations d'identification personnelles (PII) des clients
Obtenez un livre blanc gratuit sur les passkeys pour les entreprises.
3.6 Violation de la surveillance des employés par H&M (2014-2019)#
| Détails | Informations |
|---|---|
| Date | Depuis 2014, divulgué en octobre 2019, amende en octobre 2020 |
| Nombre de clients touchés | Plusieurs centaines d'employés du centre de services H&M de Nuremberg |
| Données violées | - Dossiers de santé et diagnostics - Détails sur les vacances et la famille - Croyances religieuses - Évaluations de performance |
Depuis au moins 2014, les responsables du centre de services de H&M à Nuremberg collectaient systématiquement des détails sur la vie privée de plusieurs centaines d'employés. Par le biais d'« entretiens de retour » après des arrêts maladie et des vacances, les superviseurs ont enregistré des diagnostics de santé, des problèmes familiaux, des croyances religieuses et des expériences de vacances. Les données étaient stockées sur un lecteur réseau accessible à environ 50 cadres et utilisées dans les décisions liées à l'emploi.
La pratique a été découverte en octobre 2019 après qu'une erreur de configuration ait brièvement rendu le lecteur visible à l'échelle de l'entreprise. En octobre 2020, l'Autorité de protection des données de Hambourg a émis une amende de 35,3 millions d'euros - la plus grande amende RGPD jamais infligée par une autorité allemande et l'une des plus importantes amendes liées à la vie privée dans le cadre de l'emploi dans l'histoire européenne.
Méthodes de prévention :
- Limiter la collecte de données sur les employés à ce qui est strictement nécessaire et auditable
- Exiger une formation RGPD obligatoire pour tout responsable gérant des dossiers d'employés
3.7 Violation de données de Scalable Capital (2020)#
| Détails | Informations |
|---|---|
| Date | Avril-octobre 2020 (divulgué en octobre 2020) |
| Nombre de clients touchés | Environ 33 000 personnes |
| Données violées | - Noms et adresses - Adresses e-mail - Copies de pièces d'identité - Numéros d'identification fiscale - Données de comptes bancaires et de titres - Photos |
En octobre 2020, le courtier en ligne Scalable Capital, basé à Munich, a révélé une violation exposant les informations personnelles et financières d'environ 33 000 clients actuels et anciens. Contrairement à un piratage externe typique, l'incident était un cas d'initié : une personne ayant des connaissances internes a accédé aux archives de documents stockant des copies de documents d'identité, des données fiscales et des coordonnées de comptes bancaires. Les données volées ont fait surface sur le dark web.
En décembre 2021, le tribunal régional de Munich a ordonné à Scalable Capital de verser 2 500 EUR de dommages et intérêts immatériels à un client concerné - la première décision de justice exécutoire du RGPD de ce type en Europe. Le tribunal a jugé que Scalable Capital n'avait pas révoqué les identifiants d'accès après la fin des relations commerciales.
Méthodes de prévention :
- Appliquer des contrôles d'accès stricts "joiner-mover-leaver" et la révocation immédiate des identifiants
- Chiffrer les documents d'identité et les dossiers financiers stockés et consigner chaque accès
3.8 Attaque par ransomware du centre hospitalier universitaire de Düsseldorf (2020)#
| Détails | Informations |
|---|---|
| Date | Septembre 2020 |
| Nombre de clients touchés | Systèmes hospitaliers desservant des milliers de patients |
| Données violées | - 30 serveurs chiffrés - Systèmes de planification des patients - Soins d'urgence perturbés - Accès potentiel aux dossiers des patients |
Le 10 septembre 2020, le centre hospitalier universitaire de Düsseldorf (UKD) a subi une attaque par ransomware qui a chiffré environ 30 serveurs et l'a forcé à se désinscrire des soins d'urgence. Les attaquants ont exploité CVE-2019-19781, une vulnérabilité Citrix pour laquelle un correctif était disponible depuis janvier 2020. Le ransomware a été lié à la famille DoppelPaymer. Une femme de 78 ans nécessitant un traitement d'urgence a été détournée vers un hôpital situé à 30 km et est décédée après le retard.
Les procureurs allemands ont ouvert une enquête pour homicide involontaire, largement rapportée comme l'un des premiers cas de décès potentiellement lié à une cyberattaque. La demande de rançon était adressée à l'Université Heinrich Heine, et non à l'hôpital - les attaquants semblaient avoir frappé la mauvaise cible. Lorsque la police les a informés que des vies étaient en danger, ils ont retiré leur demande et ont fourni une clé de déchiffrement.
Méthodes de prévention :
- Corriger les dispositifs accessibles sur Internet (VPN, équilibreurs de charge) en quelques jours, et non en quelques mois
- Segmenter les systèmes cliniques de l'informatique d'entreprise et conserver des sauvegardes hors ligne testées
3.9 Attaque par ransomware de Motel One (2023)#
| Détails | Informations |
|---|---|
| Date | Septembre 2023 |
| Nombre de clients touchés | Inconnu (3 ans de réservations, 6 To prétendument volés) |
| Données violées | - Noms et adresses des clients - 3 ans de confirmations de réservation - Informations sur les méthodes de paiement - Détails de 150 cartes de crédit - Documents internes de l'entreprise |
En septembre 2023, la chaîne d'hôtels économiques Motel One, basée à Munich, qui exploite plus de 90 hôtels dans 13 pays, a été frappée par le gang de ransomwares BlackCat/ALPHV. Motel One a affirmé que l'impact opérationnel a été maintenu à un « minimum relatif ». BlackCat a affirmé avoir extrait près de 24,5 millions de fichiers totalisant environ 6 To, dont trois années de confirmations de réservation. Motel One a confirmé que les adresses des clients et 150 informations de carte de crédit ont été consultées.
Motel One a engagé des spécialistes de la sécurité informatique certifiés, a coopéré avec les forces de l'ordre et les autorités de protection des données, et a personnellement informé les 150 titulaires de cartes concernés. L'affaire a mis en évidence l'exposition du secteur de l'hôtellerie aux ensembles de données PII à longue période de conservation.
Méthodes de prévention :
- Minimiser les fenêtres de conservation pour les données de réservation et de paiement aux minimums réglementaires
- Déployer l'EDR et la segmentation du réseau pour arrêter les mouvements latéraux tôt
3.10 Violation de Samsung Allemagne via Spectos (2025)#
| Détails | Informations |
|---|---|
| Date | Divulgué en mars 2025 |
| Nombre de clients touchés | Environ 270 000 dossiers clients Samsung Allemagne |
| Données violées | - Noms complets - Adresses e-mail - Adresses physiques - Numéros de téléphone - Numéros de commande et données sur les produits - Contenu des tickets d'assistance client (y compris les détails des transactions) |
En mars 2025, un acteur de la menace utilisant le pseudonyme "GHNA" a publié environ 270 000 dossiers de clients de Samsung Allemagne sur un forum de pirates populaire. Les données ne provenaient pas directement de Samsung, mais de Spectos GmbH, un partenaire de mesure de la qualité de service basé à Dresde qui gère l'infrastructure de billetterie d'assistance client de Samsung Allemagne. Les chercheurs de Hudson Rock ont lié l'intrusion à des identifiants volés par un infostealer auprès d'un employé de Spectos en 2021 - des identifiants qui sont restés valides et ont été réutilisés près de quatre ans plus tard.
Les dossiers ont exposé des contextes complets d'assistance client : noms, adresses e-mail, adresses d'expédition, numéros de commande, détails de suivi et le contenu complet des tickets d'assistance. Cette combinaison est particulièrement précieuse pour des campagnes de phishing hautement personnalisées ciblant les clients de Samsung. La violation est actuellement la principale affaire de violation de données en Allemagne en 2025 et a renouvelé l'attention réglementaire sur l'hygiène de l'identité de la chaîne d'approvisionnement et les identifiants obsolètes des fournisseurs.
Méthodes de prévention :
- Effectuer une rotation et faire expirer les identifiants des fournisseurs selon un calendrier strict et appliquer une MFA résistante au phishing sur tous les comptes fournisseurs
- Analyser en permanence à la recherche d'identifiants provenant d'infostealers et liés à l'organisation et à sa chaîne d'approvisionnement
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study4. Comment signaler une violation de données en Allemagne#
Les responsables du traitement allemands doivent signaler une violation de données à caractère personnel à l'autorité de protection des données compétente du Land dans les 72 heures après en avoir pris connaissance, en vertu de l'article 33 du RGPD. Si la violation est susceptible d'entraîner un risque élevé pour les personnes concernées, l'article 34 du RGPD exige de les notifier dans les meilleurs délais. Les opérateurs d'infrastructures critiques (KRITIS) informent en outre le BSI en vertu de la loi BSI (BSIG).
4.1 La règle des 72 heures du RGPD (Article 33)#
En vertu de l'article 33 du RGPD, un responsable du traitement doit notifier la violation de données à caractère personnel à l'autorité de contrôle compétente au plus tard 72 heures après en avoir pris connaissance. Si la notification est retardée, le responsable du traitement doit en fournir les raisons. La notification doit décrire la nature de la violation, les catégories et le nombre approximatif des personnes concernées, les conséquences probables et les mesures prises ou proposées.
4.2 Autorités compétentes : 16 autorités de protection des données des Länder et le BfDI#
Contrairement aux juridictions centralisées, l'Allemagne compte 16 autorités de protection des données au niveau des Länder (Landesdatenschutzbehörden) ainsi que le Commissaire fédéral à la protection des données et à la liberté de l'information (BfDI). L'autorité de protection des données du Land du principal établissement du responsable du traitement (par exemple, l'autorité de Hambourg pour H&M Allemagne, l'autorité bavaroise pour Scalable Capital) est compétente. Les organismes fédéraux et les télécommunications relèvent du BfDI. Ce modèle fédéralisé est une caractéristique délibérée de la loi allemande sur la protection des données.
4.3 Déclaration au BSI pour les infrastructures critiques (KRITIS)#
Les opérateurs d'infrastructures critiques (KRITIS) doivent en outre signaler les "perturbations significatives" à l'Office fédéral de la sécurité des technologies de l'information (BSI) en vertu de l'article 8b de la loi BSI. La directive NIS2, transposée dans la loi BSI en 2025, a étendu la déclaration obligatoire à davantage de secteurs, notamment les fournisseurs de services numériques, l'industrie manufacturière et la gestion des déchets. Les rapports suivent un calendrier échelonné : alerte précoce dans les 24 heures, notification complète dans les 72 heures et rapport final dans un délai d'un mois.
4.4 Notification individuelle (Article 34)#
Lorsqu'une violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, l'article 34 du RGPD exige une notification directe aux personnes concernées en des termes clairs et simples. Les affaires Knuddels, Scalable Capital et Motel One ont toutes déclenché des obligations au titre de l'article 34. L'absence de notification est un déclencheur fréquent de sanctions réglementaires supplémentaires s'ajoutant à la violation sous-jacente.
Abonnez-vous à notre Substack passkeys pour les dernières actualités.
5. Tendances des violations de données en Allemagne#
Quatre modèles se répètent à travers les dix cas : les opérations parrainées par des États contre les institutions démocratiques, la compromission des tiers et de la chaîne d'approvisionnement, les ransomwares atteignant un impact sur la sécurité des personnes, et la jurisprudence du RGPD qui crée une véritable exposition financière. Il est plus utile de comprendre ces modèles que de mémoriser les incidents individuels.
5.1 Les attaques parrainées par des États ciblent les institutions démocratiques#
L'Allemagne se distingue en Europe par la fréquence des opérations parrainées par des États contre ses institutions politiques. Le piratage du Bundestag de 2015, attribué par la suite à l'unité 26165 du GRU, et les tentatives répétées contre les partis politiques par APT28 illustrent que le rôle géopolitique de l'Allemagne en fait une cible prioritaire pour le cyberespionnage. Depuis l'invasion de l'Ukraine par la Russie en 2022, les autorités allemandes ont confirmé de multiples attributions supplémentaires au renseignement militaire russe.
5.2 Les fournisseurs tiers sont un maillon faible critique#
Mastercard Priceless Specials, Scalable Capital, Motel One et la violation de Samsung / Spectos en 2025 partagent la même cause profonde : une compromission chez un tiers, et non chez la marque principale. Même les entreprises dotées de programmes de sécurité internes matures restent exposées via leurs réseaux de fournisseurs. Le cas de Samsung Allemagne, en particulier, montre comment des identifiants volés à un sous-traitant des années plus tôt peuvent encore déverrouiller des systèmes de production.
5.3 Les ransomwares sont devenus une menace pour la vie#
L'attaque du centre hospitalier universitaire de Düsseldorf en 2020 a démontré que les ransomwares sur les infrastructures critiques constituent un problème de sécurité vitale, et pas seulement un problème informatique ou financier. Les hôpitaux, les services publics et les administrations municipales en Allemagne ont été ciblés à plusieurs reprises. Ces attaques exploitent généralement des équipements non corrigés accessibles sur Internet - des vulnérabilités qui étaient publiquement connues et pour lesquelles des correctifs étaient disponibles des mois avant l'exploitation.
5.4 L'application du RGPD redéfinit la responsabilité#
L'Allemagne se situe à l'avant-garde de l'application du RGPD. L'amende de 35,3 millions d'euros infligée à H&M, la toute première amende RGPD contre Knuddels et la décision historique sur les dommages-intérêts immatériels de Scalable Capital façonnent collectivement la manière dont les organisations à travers l'Europe abordent la protection des données. Alors que l'Irlande est en tête de l'UE pour la valeur globale des amendes RGPD (selon l'enquête 2026 de DLA Piper) et que l'arrêt Österreichische Post de la CJUE a confirmé que les demandes de dommages-intérêts immatériels constituent un recours à l'échelle de l'UE, l'Allemagne se démarque par la combinaison d'amendes individuelles élevées, de la volonté du parquet d'enquêter sur les dirigeants et d'un corpus croissant de demandes de dommages-intérêts individuels couronnées de succès.
Découvrez combien de personnes utilisent réellement les passkeys.
6. Conclusion#
Les dix plus grandes violations d'Allemagne racontent une histoire cohérente : les identifiants en sont le dénominateur commun. La méga-fuite de 2014, le harponnage du Bundestag, les mots de passe en clair de Knuddels, l'initié de Scalable Capital, le ransomware de Motel One et l'incident de Samsung / Spectos de 2025 remontent tous à la compromission d'identifiants, à leur réutilisation ou à des défaillances dans leur gestion. Les amendes RGPD allant jusqu'à 35,3 millions d'euros, le coût moyen d'une violation de 4,9 millions d'euros, les dommages par client et les enquêtes criminelles font de l'Allemagne l'environnement d'application le plus impitoyable de l'UE.
Les contre-mesures sont tout aussi cohérentes : une authentification résistante au phishing comme les passkeys, des contrôles d'accès stricts pour les arrivées, mouvements et départs ("joiner-mover-leaver"), une rotation agressive des identifiants des fournisseurs, une surveillance continue des infostealers et une préparation à la notification des violations dans les 72 heures. Les organisations qui en feront des priorités au niveau du conseil d'administration en 2026 éviteront à la fois les sanctions réglementaires et les dommages à la réputation qui ont défini la dernière décennie des violations en Allemagne.
À propos de Corbado
Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →
Foire aux questions#
Quelle a été la violation de données de Samsung Allemagne en 2025 ?#
En mars 2025, environ 270 000 dossiers d'assistance client de Samsung Allemagne ont été divulgués sur un forum de pirates. Les données provenaient de Spectos GmbH, un partenaire de service tiers de Samsung. Les dossiers comprenaient des noms complets, des adresses e-mail, des adresses physiques, des détails de commande et le contenu des tickets d'assistance. Les enquêteurs ont lié l'exposition à des identifiants récoltés par un infostealer en 2021 qui ont été réutilisés des années plus tard pour accéder au système Spectos.
Comment signaler une violation de données en Allemagne ?#
En vertu de l'article 33 du RGPD, les responsables du traitement allemands doivent signaler les violations de données à caractère personnel à l'autorité de protection des données du Land compétente dans les 72 heures après en avoir pris connaissance. Si la violation est susceptible d'engendrer un risque élevé, l'article 34 exige de notifier les personnes concernées dans les meilleurs délais. Les opérateurs d'infrastructures critiques doivent en outre en informer le BSI en vertu de la loi BSI.
Quelle est la plus grande amende RGPD jamais émise en Allemagne ?#
L'Autorité de protection des données de Hambourg a infligé une amende de 35,3 millions d'euros à H&M en octobre 2020 pour la surveillance systématique de plusieurs centaines d'employés dans son centre de services de Nuremberg. Elle reste la plus grande amende RGPD jamais imposée par une autorité allemande et l'une des plus importantes amendes liées à la vie privée dans le cadre de l'emploi en Europe.
Combien coûte une violation de données en Allemagne ?#
Selon le rapport IBM 2024 sur le coût d'une violation de données, le coût moyen d'une violation de données en Allemagne s'élevait à 4,9 millions d'euros (environ 5,31 millions de dollars US). Cela place l'Allemagne parmi les cinq pays les plus chers au monde pour les incidents de violation de données, au-dessus de la moyenne mondiale de 4,88 millions de dollars US.
Quelle autorité allemande applique le RGPD ?#
L'Allemagne applique le RGPD par l'intermédiaire de 16 autorités de protection des données des Länder (Landesdatenschutzbehörden) ainsi que du Commissaire fédéral à la protection des données et à la liberté de l'information (BfDI) pour les organismes fédéraux et les télécommunications. L'autorité compétente est déterminée par le principal établissement du responsable du traitement en Allemagne.
Partager cet article
Articles associés
![10 Biggest Data Breaches in France [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_blog_data_breaches_france_f46e77975d91_c9b3325fb7.png&w=3840&q=75)
![10 Biggest Data Breaches in the UK [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_blog_data_breaches_UK_e8d54fe5c3a2_02db7dc27b.png&w=3840&q=75)
![10 Biggest Data Breaches in South Korea [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_blog_data_breaches_south_korea_39e958752020_bdb135e532.png&w=3840&q=75)
![10 Biggest Data Breaches in South Africa [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_blog_data_breaches_south_africa_e60cd568d66d_f10daeaf7c.png&w=3840&q=75)
![10 Biggest Data Breaches in the USA [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_blog_data_breaches_usa_27d821dfe2e0_c8b0725222.png&w=3840&q=75)
Table des matières