10 Maiores Vazamentos de Dados na França [2026]

1. Introdução#

A França tornou-se uma das jurisdições mais violadas na Europa. Entre 2024 e 2025, mais de 145 milhões de registros pertencentes a cidadãos franceses foram expostos em serviços públicos, saúde, telecomunicações e varejo, o que significa estatisticamente que cada residente francês fez parte de vários vazamentos. Segundo a CNIL, mais de 5.600 notificações de violação foram recebidas em 2024, um novo recorde histórico.

Este artigo lista os 10 vazamentos de dados mais significativos na história recente da França, desde os 43 milhões de registros expostos no incidente do France Travail até o vazamento do software de saúde Cegedim Santé, ao lado das regras de notificação da CNIL, multas e padrões de prevenção que se aplicam a qualquer organização operando na França.

2. Por que a França é um alvo atraente para vazamentos de dados?#

O setor altamente digitalizado de público da França, seu denso ecossistema de pagamentos de saúde e três grandes operadoras de telecomunicações, cada uma detendo dezenas de milhões de registros de assinantes, combinam-se para produzir uma superfície de ataque descomunal. Adicione o subinvestimento crônico em segurança cibernética em relação a países semelhantes e a engenharia social visando consultores de linha de frente, e o resultado é a série recorde de violações que a França experimentou em 2024-2026.

2.1 Setor público altamente digitalizado#

A França possui um dos sistemas de governo eletrônico mais avançados da Europa. O FranceConnect, a federação nacional de identidades, roteia o acesso a impostos, saúde, emprego e benefícios familiares. Uma única conta de consultor comprometida pode, portanto, expor registros de décadas, como visto no France Travail, Pass'Sport e OFII. O setor público mantém dados de cidadãos do berço ao túmulo, criando uma concentração de registros sensíveis inigualável em escala.

2.2 Denso ecossistema de processadores terceirizados#

O seguro de saúde francês depende de um pequeno número de plataformas de "tiers payant" (Viamedis, Almerys, Cegedim) que processam dados para dezenas de mútuas. Uma intrusão, portanto, propaga-se a dezenas de milhões de segurados. O mesmo padrão é visível nas telecomunicações (vazamento de 2025 da Bouygues Telecom por meio de um fornecedor terceirizado) e no comércio eletrônico. Mesmo as organizações com programas maduros de segurança interna permanecem expostas através das suas redes de fornecedores.

2.3 Subinvestimento crônico em segurança cibernética#

Análises independentes, como a Edouard.ai, estimam os gastos públicos com cibersegurança da França em cerca de 0,03% do PIB (uma estimativa, não um número oficial), notavelmente inferiores aos de outros países europeus. As multas médias da CNIL historicamente permaneceram abaixo dos pares da UE, reduzindo a dissuasão financeira para segurança negligente, uma lacuna que o regulador está agora a fechar com sanções recorde contra a Free Mobile, France Travail e outros.

2.4 Engenharia social e lacunas de MFA#

Vários dos maiores incidentes franceses (France Travail, Viamedis, Free) começaram com phishing ou invasão de contas em portais de consultores ou funcionários que não impunham MFA resistente a phishing. Em todos os casos, os invasores visaram os humanos na borda em vez da infraestrutura principal. A FIDO Alliance classifica as chaves de acesso (passkeys) como resistentes a phishing por design, uma vez que cada chave de acesso está vinculada à origem legítima e não pode ser reutilizada contra sites controlados por invasores. Os serviços públicos e as empresas de telecomunicações francesas que ainda não implementaram chaves de acesso ou autenticação baseada em hardware continuam expostos à mesma classe de ataques.

3. Os 10 maiores vazamentos de dados na França#

Os dez maiores vazamentos de dados franceses desde 2023 expuseram pelo menos 145 milhões de registros combinados e desencadearam multas da CNIL totalizando 47 milhões de euros até janeiro de 2026. Eles abrangem serviços públicos (France Travail, Pass'Sport), plataformas de saúde (Viamedis, Almerys, Cegedim Santé), telecomunicações (Free, Bouygues Telecom) e varejo ao consumidor (ManoMano, Sport 2000). A tabela abaixo resume o escopo, ano e resultado regulatório; descrições detalhadas de casos e padrões de prevenção seguem abaixo.

3.1 Vazamento de dados do France Travail (2024)#

Em março de 2024, o France Travail (antigo Pôle Emploi) e o Cap Emploi divulgaram o que hoje é considerado o maior vazamento de dados da história da França. Invasores usaram engenharia social para sequestrar as contas de consultores do Cap Emploi (a organização que apoia pessoas com deficiência) e acessaram dados de todos os indivíduos que haviam sido registrados nos últimos 20 anos, bem como candidatos com um perfil no francetravail.fr. Segundo a CNIL, até 43 milhões de pessoas podem ter sido afetadas.

Em 22 de janeiro de 2026, a CNIL multou o France Travail em 5 milhões de euros sob o Artigo 32 do RGPD, onde o máximo legal para um órgão público é de 10 milhões de euros. O regulador citou "ignorância dos princípios essenciais de segurança" e ordenou medidas corretivas sob uma penalidade de 5.000 euros/dia. Este já era o segundo vazamento do France Travail: em agosto de 2023, um incidente de terceiros ligado ao grupo de ransomware Cl0p explorando uma vulnerabilidade zero-day no MOVEit Transfer já havia exposto os dados de 10 milhões de usuários.

Métodos de prevenção:

• Impor MFA resistente a phishing (chaves de acesso) para todas as contas de consultores e administradores que acessam dados de cidadãos em massa
• Aplicar deteção de anomalias em consultas em massa e regras estritas de retenção de dados em bases de dados de cidadãos

3.2 Vazamento de dados do ManoMano (2026)#

Em fevereiro de 2026, o gigante francês de bricolagem e comércio eletrônico ManoMano foi citado por agentes de ameaças em uma venda de dados referenciada em vários rastreadores de segurança cibernética franceses. O ator alegou ter comprometido até 37,8 milhões de registros de clientes, incluindo dados de identidade, detalhes de contato e informações administrativas. A escala da alegação é consistente com a base cumulativa de usuários da plataforma na UE, em vez de clientes franceses ativos, mas o incidente ainda é uma das vendas de dados vinculadas à França de maior volume já observadas.

A exposição sublinha como os grandes marketplaces de consumidores na França se tornaram tão atraentes para os invasores quanto os bancos ou as telecomunicações, particularmente quando os dados podem ser combinados com vazamentos anteriores para construir "grafos de identidade" para fraude.

Métodos de prevenção:

• Monitorar continuamente fóruns underground e marketplaces de violação em busca de listas de clientes expostas e impor limites estritos de taxa de API nos endpoints de clientes
• Minimizar a retenção de perfis de clientes históricos e de baixa atividade

3.3 Vazamento de dados de Viamedis e Almerys (2024)#

Em janeiro e fevereiro de 2024, a Viamedis e a Almerys, dois processadores franceses de pagamentos a terceiros para seguros de saúde complementares, foram violados em rápida sucessão. A CNIL confirmou que, combinados, os incidentes afetaram 33 milhões de pessoas, quase metade da população da França.

A intrusão da Viamedis foi rastreada até um ataque de phishing direcionado a profissionais de saúde, permitindo que os invasores reutilizassem credenciais roubadas no portal do provedor. Suspeita-se que a Almerys tenha sido atingida por meio de um portal semelhante de profissionais de saúde.

Métodos de prevenção:

• Implantar MFA resistente a phishing (chaves de acesso) para todos os profissionais de saúde que acessam dados de membros segurados
• Segmentar plataformas de "tiers-payant" para que um portal comprometido não possa expor toda a base de dados nacional

3.4 Vazamento de dados da Free (2024)#

Em outubro de 2024, a Free (segundo maior provedor de serviços de internet da França e subsidiária do grupo Iliad) confirmou que invasores haviam comprometido uma ferramenta de gerenciamento interna e extraído dados de 19,46 milhões de contratos da Free Mobile e 5,17 milhões de contratos da Freebox, incluindo os IBANs de todos os 5,11 milhões de clientes da Freebox. Os dados foram rapidamente leiloados no BreachForums por um agente de ameaças conhecido como "drussellx", com o lance final atingindo 175.000 euros.

A Free enfatizou que as senhas, os dados de cartões de pagamento e o conteúdo das comunicações não foram afetados, mas a combinação de IBAN, nome completo e data de nascimento é suficiente para fraudes de débito direto e phishing de alta qualidade. Em 13 de janeiro de 2026, a CNIL sancionou a Free Mobile em 27 milhões de euros e a Free em 15 milhões de euros (42 milhões de euros no total) por segurança inadequada em torno dos dados dos assinantes, uma das maiores sanções combinadas do RGPD já emitidas na França por um vazamento de dados.

Métodos de prevenção:

• Proteger ferramentas internas privilegiadas com MFA resistente a phishing e acesso just-in-time
• Tokenizar IBANs e identificadores de pagamento para que os registros dos assinantes não sejam diretamente monetizáveis

3.5 Vazamento de dados da Cegedim Santé (MLM) (2025)#

Em outubro de 2025, invasores violaram o "MonLogicielMedical.com" (MLM), um software de gerenciamento de práticas médicas editado pela Cegedim Santé e usado por milhares de profissionais de saúde franceses. De acordo com o Ministério da Saúde francês, o incidente comprometeu dados administrativos de cerca de 15 milhões de pacientes franceses, abrangendo até 15 anos de histórico e 19 milhões de linhas de registros digitais.

Em seu esclarecimento de fevereiro de 2026, a Cegedim Santé afirmou que os dados em questão eram exclusivamente administrativos (informações do tipo identidade, como sobrenome, primeiro nome e sexo), e que registros clínicos estruturados, comentários médicos em texto livre e diagnósticos sensíveis, como o status de HIV, não estavam envolvidos. Uma investigação criminal por "violação de um sistema automatizado de dados" foi aberta em 27 de outubro de 2025.

Métodos de prevenção:

• Impor autenticação forte (chaves de acesso) para todos os profissionais que acessam software médico em nuvem
• Aplicar minimização estrita de dados e segregação entre dados administrativos de identidade e registros clínicos em plataformas médicas SaaS

3.6 Vazamento MOVEit do France Travail (2023)#

Antes do incidente que virou manchete em 2024, o France Travail já havia sido vítima de uma violação de terceiros vinculada ao grupo de ransomware Cl0p, explorando uma vulnerabilidade zero-day no software Progress MOVEit Transfer. O ataque expôs as informações pessoais de cerca de 10 milhões de candidatos a emprego, incluindo nomes, NIRs e detalhes de contato. Fez parte da onda global da cadeia de suprimentos MOVEit que afetou centenas de organizações em todo o mundo e prenunciou a violação ainda maior da mesma agência em 2024.

Métodos de prevenção:

• Manter um inventário atualizado de software de transferência de arquivos de terceiros exposto à internet e aplicar patching virtual para janelas zero-day
• Segmentar pipelines de transferência de arquivos dos principais bancos de dados de RH e cidadãos

3.7 Vazamento de dados da Bouygues Telecom (2025)#

Em 4 de agosto de 2025, a Bouygues Telecom, uma das principais operadoras móveis da França, com cerca de 14,5 milhões de assinantes móveis e uma base total de clientes de aproximadamente 23 milhões, detectou um ataque cibernético contra um sistema de gestão de clientes. Dois dias depois, a empresa confirmou que os invasores acessaram dados pessoais e contratuais de 6,4 milhões de clientes, incluindo IBANs. Senhas e números de cartão de pagamento não foram comprometidos.

O vazamento, que se acredita ter se originado de um fornecedor terceirizado, foi relatado à CNIL e à ANSSI. Sob o Artigo 323-1 do Código Penal francês, o invasor pode pegar até três anos de prisão por acesso não autorizado a um sistema automatizado de processamento de dados, aumentando para cinco anos se os dados forem alterados ou o sistema for prejudicado. A própria Bouygues Telecom enfrenta o escrutínio do RGPD por parte da CNIL em relação ao seu gerenciamento de riscos de terceiros. O incidente faz parte de um padrão mais amplo que também atingiu a SFR (setembro de 2025, detalhes bancários) e a Free em 2024-2025.

Métodos de prevenção:

• Tratar os fornecedores terceirizados como parte da superfície de ataque principal e exigir MFA resistente a phishing em todos os sistemas conectados
• Tokenizar IBANs e outros identificadores de pagamento para limitar o valor do roubo de dados em massa

3.8 Vazamento de dados do Pass'Sport (dezembro de 2025)#

O Pass'Sport é um programa do governo francês administrado pelo Ministério dos Esportes que fornece um subsídio de 70 euros (anteriormente 50 euros) a jovens elegíveis para associações em clubes esportivos. Na noite de 17 para 18 de dezembro de 2025, um arquivo de 15 GB contendo mais de 22 milhões de linhas de dados apareceu online. Os relatos iniciais da mídia atribuíram erroneamente o vazamento à Caisse d'Allocations Familiales (CAF), que negou publicamente qualquer intrusão no caf.fr. Posteriormente, o Ministério dos Esportes confirmou que os dados se originaram do sistema de informação Pass'Sport, abrangendo cerca de 3,5 milhões de lares e 6,4 milhões de endereços de e-mail únicos de beneficiários e de seus pais ou responsáveis.

Os registros expostos cobriam o período de setembro de 2024 a novembro de 2025 e incluíam identidades completas, endereços postais, números de telefone e endereços de e-mail, mas não dados bancários ou senhas. O conjunto de dados é particularmente valioso para phishing direcionado contra famílias com menores de idade, e uma grande parte já foi indexada no Have I Been Pwned.

Métodos de prevenção:

• Aplicar a proteção mais estrita possível a sistemas que processam dados de menores, incluindo MFA obrigatória e resistente a phishing para administradores
• Minimizar a duração pela qual os dados do beneficiário são retidos após o término do programa

3.9 Vazamento de dados da Sport 2000 (2024)#

Em abril de 2024, a varejista francesa de artigos esportivos Sport 2000 sofreu um vazamento de dados que foi posteriormente indexado pelo Have I Been Pwned. Um agente de ameaças operando sob o pseudônimo "ChatNoir7331" postou um banco de dados de 4,4 milhões de linhas com 3,2 milhões de endereços de e-mail únicos para venda em um fórum de hackers, e o conjunto de dados foi posteriormente republicado gratuitamente em junho de 2024. O vazamento incluiu nomes, endereços de e-mail e postais, números de telefone, datas de nascimento e histórico de compras detalhado associado a lojas específicas.

A combinação de dados de contato e histórico de compras por loja torna o vazamento da Sport 2000 particularmente útil para phishing altamente direcionado ("sua recente compra na Sport 2000 Lyon...") e ilustra como varejistas franceses de médio porte podem produzir violações em escala de consumidor quando os bancos de dados de marketing são mal segmentados.

Métodos de prevenção:

• Segmentar bancos de dados de marketing e transacionais e rotacionar tokens de acesso usados por ferramentas de marketing de terceiros
• Minimizar a retenção de dados de compra históricos vinculados a clientes identificáveis

3.10 Vazamento de dados da Fédération Française de Football (2025)#

Em 2025, a Fédération Française de Football (FFF) divulgou uma violação que expôs os dados pessoais de seus membros licenciados. A FFF publica ter cerca de 2,38 milhões de membros licenciados para a temporada 2023-2024. De acordo com o próprio aviso de "vol de données" da FFF, o incidente cobriu dados de identidade e contato (nomes, datas de nascimento, números de licenças e alguns documentos de identidade) e excluiu explicitamente dados de saúde. O incidente da FFF fez parte de uma onda que também atingiu a Fédération Française de Voile, a Fédération Française de Gymnastique, a Fédération Française de Tir e outras, confirmando que as federações esportivas francesas são um alvo atraente devido aos seus grandes conjuntos de dados armazenados historicamente e orçamentos de segurança de TI comparativamente fracos.

Métodos de prevenção:

• Priorizar o investimento em cibersegurança em federações e organizações sem fins lucrativos que mantêm décadas de dados de membros
• Remover registros históricos que não são mais necessários para operar licenças

4. Como notificar um vazamento de dados na França#

Os controladores franceses devem notificar um vazamento de dados pessoais à CNIL em até 72 horas após tomarem conhecimento, de acordo com o Artigo 33 do RGPD. Se a violação tiver probabilidade de resultar em um alto risco para os indivíduos afetados, o Artigo 34 do RGPD exige notificá-los sem atrasos indevidos. Operadores de importância vital (OIV) e operadores de serviços essenciais (OSE) notificam adicionalmente a ANSSI; a transposição total da diretiva NIS2 para a lei francesa ainda estava em andamento em 2026.

4.1 Regra de 72 horas do RGPD (Artigo 33)#

Sob o Artigo 33 do RGPD, um controlador deve notificar a CNIL sobre uma violação de dados pessoais em não mais de 72 horas após tomar conhecimento dela. Se a notificação for atrasada, o controlador deve fornecer os motivos para o atraso. A notificação deve descrever a natureza da violação, categorias e número aproximado de indivíduos afetados, consequências prováveis e medidas tomadas ou propostas.

4.2 Autoridade competente: a CNIL#

Ao contrário das 16 APDs em nível estadual da Alemanha, a França possui uma única autoridade de supervisão nacional: a Commission Nationale de l'Informatique et des Libertés (CNIL). A CNIL aplica o RGPD tanto para controladores do setor público quanto do privado e tem o poder de impor multas administrativas de até 20 milhões de euros ou 4% do faturamento anual global, o que for maior. Sanções combinadas recentes contra a Free Mobile e a Free (42 milhões de euros, dos quais 27 milhões contra a Free Mobile) e France Travail (5 milhões de euros) mostram que a CNIL passou de advertências a ações punitivas.

4.3 Notificação à ANSSI para OIV, OSE e NIS2#

Os operadores de importância vital (OIV) e operadores de serviços essenciais (OSE) devem adicionalmente relatar incidentes cibernéticos significativos à ANSSI, a agência nacional de segurança cibernética francesa. A diretiva NIS2 estende os relatórios obrigatórios a mais setores, incluindo provedores de serviços digitais, manufatura e gerenciamento de resíduos. A sua transposição para a lei francesa ainda estava em andamento em 2026, e a ANSSI declarou que se comunicará durante todo o processo; a Comissão Europeia também emitiu um parecer fundamentado sobre a transposição incompleta. Uma vez em vigor, os relatórios seguirão um cronograma em fases: um aviso prévio em 24 horas, notificação completa em 72 horas e um relatório final em um mês.

4.4 Notificação individual (Artigo 34)#

Quando um vazamento tem a probabilidade de resultar em alto risco para os direitos e liberdades dos indivíduos, o Artigo 34 do RGPD exige notificação direta às pessoas afetadas em linguagem clara e simples. Os casos do France Travail, Viamedis, Free e Cegedim Santé desencadearam obrigações do Artigo 34. A falha na notificação é um gatilho comum para penalidades regulatórias adicionais além da própria violação.

5. Tendências em vazamentos de dados na França#

Quatro padrões se repetem nos dez casos: concentração de dados de cidadãos em um setor público altamente digitalizado, comprometimento de terceiros e da cadeia de suprimentos como o ponto de entrada dominante, credential stuffing transformando portais públicos franceses em alvos fáceis e uma CNIL que está rapidamente se atualizando na fiscalização. Entender esses padrões é mais prático do que memorizar incidentes individuais.

5.1 A digitalização do setor público cria uma superfície de ataque nacional#

France Travail, OFII, FICOBA e Pass'Sport mostram a quantidade de dados de cidadãos concentrados em poucas plataformas públicas. Uma conta de consultor comprometida na Cap Emploi foi suficiente para expor 43 milhões de registros; uma integração de parceiros vazada no Pass'Sport foi suficiente para expor 3,5 milhões de lares. A dependência da França do FranceConnect e de logins compartilhados de serviços públicos amplifica esse risco: uma única senha comprometida vinculada a um NIR pode desbloquear vários serviços públicos de uma só vez.

5.2 Fornecedores terceirizados são um elo fraco e crítico#

Viamedis, Almerys, Cegedim Santé, Bouygues Telecom e o incidente do France Travail MOVEit de 2023 compartilham a mesma causa raiz: comprometimento em um terceiro, não na marca principal. Mesmo organizações com programas robustos de segurança interna permanecem expostas por meio de suas redes de fornecedores. O modelo de seguro de saúde "tiers-payant", em que um punhado de processadores lida com dados para dezenas de mútuas, é particularmente vulnerável a violações de ponto único de falha.

5.3 O credential stuffing transforma os portais públicos em alvos fáceis#

O credential stuffing tornou-se o ataque de acompanhamento padrão após cada violação na França. Em fevereiro de 2024, o grupo de hackers LulzSec alegou que até 600.000 contas da CAF foram comprometidas puramente por meio da reutilização de senhas, sem qualquer violação técnica do caf.fr. Um vazamento subsequente em agosto de 2024 expôs mais 60.369 combinações de login da CAF (NIR + senha) em um fórum de hackers. Contanto que os serviços públicos franceses aceitem o login por senha, cada nova violação em qualquer lugar da Europa alimenta os ataques de credential stuffing contra eles.

5.4 A fiscalização da CNIL está se atualizando#

A partir de janeiro de 2026, a CNIL mudou de advertências para aplicação punitiva. Em 13 de janeiro de 2026, a Free Mobile e a Free foram multadas em conjunto em 42 milhões de euros (27 milhões contra a Free Mobile e 15 milhões contra a Free), e o France Travail foi multado em 5 milhões de euros em 22 de janeiro de 2026 de acordo com o Artigo 32 do RGPD (o máximo legal para um órgão público é de 10 milhões de euros). Historicamente, as multas médias da CNIL permaneceram bem abaixo dos limites do RGPD. Combinado com o crescente corpo de reivindicações de danos no estilo de ação coletiva de acordo com o Artigo 82, a França passou para o mesmo nível de fiscalização da Alemanha, Holanda e Irlanda.

6. Conclusão#

As dez maiores violações recentes da França contam uma história consistente: credenciais e acesso de terceiros são os denominadores comuns. As contas de consultores do France Travail com engenharia social, os profissionais de saúde da Viamedis vítimas de phishing, a ferramenta interna da Free comprometida, a integração de parceiros vazada da Pass'Sport e o fornecedor de terceiros da Bouygues Telecom remontam à mesma fraqueza subjacente: humanos e fornecedores se autenticando com senhas em sistemas que mantêm décadas de dados de cidadãos.

As contramedidas são igualmente consistentes: autenticação resistente a phishing como chaves de acesso, governança rígida de acesso a terceiros, monitoramento contínuo da dark web e prontidão para notificação da CNIL em 72 horas. Com a CNIL emitindo agora multas de oito e nove dígitos, as organizações francesas que tratarem isso como prioridades de nível de diretoria em 2026 evitarão as penalidades regulatórias e os danos à reputação que definiram os últimos três anos de violações na França.

Sobre a Corbado

Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →

Perguntas frequentes#

O que foi o vazamento de dados do France Travail em 2024?#

Em março de 2024, o France Travail (antigo Pôle Emploi) e o Cap Emploi divulgaram o maior vazamento de dados da história da França. Os invasores usaram engenharia social para sequestrar contas de consultores do Cap Emploi e extraíram dados pessoais de até 43 milhões de candidatos a emprego nos últimos 20 anos, incluindo nomes, datas de nascimento, números de segurança social, IDs do France Travail e detalhes de contato. Em 22 de janeiro de 2026, a CNIL multou o France Travail em 5 milhões de euros ao abrigo do Artigo 32 do RGPD, onde o máximo legal para um órgão público é de 10 milhões de euros.

Como notificar um vazamento de dados na França?#

De acordo com o Artigo 33 do RGPD, os controladores franceses devem notificar a CNIL no prazo de 72 horas após tomarem conhecimento de uma violação de dados pessoais. Se for provável que a violação resulte em alto risco para os indivíduos afetados, o Artigo 34 exige a notificação sem atrasos indevidos. Os operadores de importância vital (OIV) e os operadores de serviços essenciais (OSE) notificam a ANSSI ao abrigo da lei francesa existente; a transposição completa da diretiva NIS2 para a lei francesa ainda estava em curso em 2026.

Qual é a maior multa da CNIL já emitida após um vazamento de dados na França?#

Em 13 de janeiro de 2026, a CNIL multou conjuntamente a Free Mobile em 27 milhões de euros e a Free em 15 milhões de euros (42 milhões de euros combinados) por segurança inadequada que contribuiu para uma violação em 2024 que expôs 24,6 milhões de contratos, incluindo 5,11 milhões de IBANs. Esta é uma das maiores sanções combinadas do RGPD já emitidas na França por um vazamento de dados. O France Travail foi multado em 5 milhões de euros em 22 de janeiro de 2026 ao abrigo do Artigo 32.

Por que a França se tornou um alvo tão atraente para vazamentos de dados?#

A França combina um setor público altamente digitalizado (France Travail, CAF, DGFiP, OFII), um denso ecossistema de pagamentos de saúde (Viamedis, Almerys, Cegedim) e três grandes operadores de telecomunicações que detêm, cada um, dezenas de milhões de registos de subscritores. O subinvestimento crónico em cibersegurança em relação ao PIB, a forte dependência de plataformas de terceiros e os ataques de engenharia social a consultores em contacto com o público explicam por que razão mais de 145 milhões de registos franceses foram expostos entre 2024 e 2025.

Como os vazamentos de dados franceses alimentam ataques de credential stuffing?#

Os vazamentos expõem endereços de e-mail, números de segurança social e frequentemente senhas que são negociadas em fóruns da dark web. Os atacantes reutilizam estas credenciais contra bancos, serviços públicos e retalhistas, explorando a reutilização de senhas. O incidente da CAF em fevereiro de 2024 comprometeu até 600.000 contas apenas através de credential stuffing, sem qualquer violação técnica do caf.fr, demonstrando como as violações francesas continuam a alimentar ataques muito após a sua divulgação.