10 крупнейших утечек данных во Франции [2026]

1. Введение#

Франция стала одной из самых уязвимых для утечек данных юрисдикций в Европе. В период с 2024 по 2025 год более 145 миллионов записей, принадлежащих французским гражданам, были скомпрометированы в сфере государственных услуг, здравоохранения, телекоммуникаций и розничной торговли, что означает: статистически каждый житель Франции фигурировал в нескольких утечках. По данным CNIL, в 2024 году было получено более 5600 уведомлений об утечках, что стало новым историческим максимумом.

В этой статье перечислены 10 самых значимых утечек данных в новейшей истории Франции: от 43 миллионов записей, раскрытых в результате инцидента с France Travail, до утечки медицинского ПО Cegedim Santé, а также рассмотрены правила уведомления CNIL, штрафы и методы предотвращения, которые применимы к любой организации, работающей во Франции.

2. Почему Франция является привлекательной целью для утечек данных?#

Высокая степень цифровизации государственного сектора Франции, плотная экосистема платежей в сфере здравоохранения и три крупных телеком-оператора, каждый из которых хранит десятки миллионов записей об абонентах, в совокупности создают огромную поверхность атаки. Добавьте к этому хроническое недофинансирование кибербезопасности по сравнению со странами-аналогами и социальную инженерию, направленную на консультантов первой линии, и результатом станет рекордная серия утечек, с которой Франция столкнулась в 2024–2026 годах.

2.1 Высокоцифровизированный государственный сектор#

Франция обладает одной из самых передовых систем электронного правительства в Европе. FranceConnect, национальная федерация удостоверения личности, обеспечивает доступ к налоговым, медицинским, семейным льготам и пособиям по безработице. Таким образом, взлом аккаунта всего одного консультанта может привести к раскрытию записей за несколько десятилетий, как это произошло в случаях с France Travail, Pass'Sport и OFII. Государственный сектор хранит данные граждан от рождения до смерти, создавая концентрацию конфиденциальных записей, не имеющую себе равных по масштабу.

2.2 Плотная экосистема сторонних обработчиков данных#

Французское медицинское страхование опирается на небольшое количество платформ «третьей стороны» (Viamedis, Almerys, Cegedim), которые обрабатывают данные для десятков страховых компаний (mutuelles). Поэтому одно вторжение распространяется на десятки миллионов страхователей. Аналогичная картина наблюдается в сфере телекоммуникаций (утечка данных в Bouygues Telecom в 2025 году через стороннего поставщика) и в электронной коммерции. Даже организации со зрелыми внутренними программами безопасности остаются уязвимыми через сети своих поставщиков.

2.3 Хроническое недофинансирование кибербезопасности#

Согласно независимым аналитическим исследованиям, таким как Edouard.ai, государственные расходы Франции на кибербезопасность составляют примерно 0,03% ВВП (это оценка, а не официальная цифра), что заметно ниже, чем в других европейских странах. Исторически средние штрафы CNIL оставались ниже, чем в других странах ЕС, что снижало финансовый сдерживающий фактор в отношении слабой безопасности — пробел, который регулятор сейчас закрывает рекордными санкциями против Free Mobile, France Travail и других.

2.4 Социальная инженерия и пробелы в многофакторной аутентификации#

Несколько крупнейших инцидентов во Франции (France Travail, Viamedis, Free) начались с фишинга или захвата учетных записей на порталах консультантов или сотрудников, где не применялась устойчивая к фишингу MFA. Во всех случаях злоумышленники атаковали людей на периферии, а не базовую инфраструктуру. Альянс FIDO (FIDO Alliance) классифицирует ключи доступа (passkeys) как устойчивые к фишингу по своей конструкции, поскольку каждый ключ доступа привязан к легитимному источнику и не может быть использован на сайтах, контролируемых злоумышленниками. Французские государственные службы и телеком-компании, которые еще не внедрили ключи доступа или аппаратную аутентификацию, остаются уязвимыми для атак этого класса.

3. 10 крупнейших утечек данных во Франции#

В результате десяти крупнейших утечек данных во Франции с 2023 года были скомпрометированы в общей сложности не менее 145 миллионов записей, что к январю 2026 года привело к штрафам CNIL на общую сумму 47 млн евро. Эти утечки затрагивают государственные услуги (France Travail, Pass'Sport), медицинские платформы (Viamedis, Almerys, Cegedim Santé), телекоммуникации (Free, Bouygues Telecom) и розничную торговлю (ManoMano, Sport 2000). В таблице ниже приведены масштаб, год и регуляторные последствия; далее следуют подробные описания случаев и методы предотвращения.

3.1 Утечка данных France Travail (2024)#

В марте 2024 года France Travail (ранее Pôle Emploi) и Cap Emploi сообщили о крупнейшей в истории Франции утечке данных. Злоумышленники использовали социальную инженерию для захвата аккаунтов консультантов Cap Emploi (организации, поддерживающей людей с инвалидностью) и получили доступ к данным всех лиц, зарегистрированных за последние 20 лет, а также кандидатов, имеющих профиль на сайте francetravail.fr. По данным CNIL, могло пострадать до 43 миллионов человек.

22 января 2026 года CNIL оштрафовала France Travail на 5 млн евро в соответствии со статьей 32 GDPR, при том что установленный законом максимум для государственного органа составляет 10 млн евро. Регулятор сослался на «незнание базовых принципов безопасности» и предписал принять корректирующие меры под угрозой штрафа в 5000 евро за каждый день просрочки. Это была уже вторая утечка данных в France Travail: в августе 2023 года инцидент с третьей стороной, связанный с эксплуатацией уязвимости нулевого дня в MOVEit Transfer группировкой Cl0p, уже привел к раскрытию данных 10 миллионов пользователей.

Методы предотвращения:

• Внедрение устойчивой к фишингу MFA (ключей доступа) для всех учетных записей консультантов и администраторов, имеющих доступ к массовым базам данных граждан.
• Применение обнаружения аномалий при массовых запросах и строгих правил хранения данных в базах данных граждан.

3.2 Утечка данных ManoMano (2026)#

В феврале 2026 года злоумышленники назвали французского гиганта DIY электронной коммерции ManoMano в связи с продажей данных, на которую ссылались многие французские трекеры кибербезопасности. Хакеры заявили о компрометации до 37,8 миллионов записей клиентов, включая идентификационные данные, контактную и административную информацию. Масштаб заявлений больше соответствует совокупной пользовательской базе платформы в ЕС, чем количеству активных клиентов во Франции, но этот инцидент все равно является одной из самых объемных продаж данных, связанных с Францией, за всю историю наблюдений.

Эта утечка подчеркивает, что крупные потребительские маркетплейсы во Франции стали для злоумышленников такой же привлекательной мишенью, как банки или телекоммуникационные компании, особенно когда эти данные можно объединить с предыдущими утечками для создания «графов идентичности» с целью мошенничества.

Методы предотвращения:

• Постоянный мониторинг теневых форумов и площадок по продаже данных на предмет раскрытых списков клиентов и введение строгих ограничений скорости (rate limits) API на эндпоинтах клиентов.
• Минимизация срока хранения исторических профилей клиентов с низкой активностью.

3.3 Утечка данных Viamedis и Almerys (2024)#

В январе и феврале 2024 года с небольшим интервалом были взломаны Viamedis и Almerys — две французские платежные системы-посредники (tiers payant) в сфере дополнительного медицинского страхования. CNIL подтвердила, что в совокупности инциденты затронули 33 миллиона человек, то есть почти половину населения Франции.

Вторжение в Viamedis было прослежено до фишинговой атаки, нацеленной на медицинских работников, что позволило злоумышленникам повторно использовать украденные учетные данные на портале провайдера. Предполагается, что Almerys подверглась атаке через аналогичный портал для медицинских работников.

Методы предотвращения:

• Внедрение устойчивой к фишингу MFA (ключей доступа) для каждого медицинского работника, имеющего доступ к данным застрахованных лиц.
• Сегментация платформ «tiers payant» таким образом, чтобы взлом одного портала не мог привести к раскрытию всей национальной базы данных.

3.4 Утечка данных Free (2024)#

В октябре 2024 года компания Free (второй по величине интернет-провайдер Франции и дочерняя компания группы Iliad) подтвердила, что злоумышленники скомпрометировали внутренний инструмент управления и вывели данные по 19,46 млн контрактов Free Mobile и 5,17 млн контрактов Freebox, включая номера IBAN всех 5,11 млн клиентов Freebox. Данные были быстро выставлены на аукцион на BreachForums хакером, известным под ником «drussellx», а последняя ставка достигла 175 000 евро.

Компания Free подчеркнула, что пароли, данные платежных карт и содержание коммуникаций не пострадали, однако комбинации IBAN, полного имени и даты рождения достаточно для мошенничества с прямым дебетованием и высококачественного фишинга. 13 января 2026 года CNIL оштрафовала Free Mobile на 27 млн евро, а Free на 15 млн евро (всего на 42 млн евро) за ненадлежащую безопасность абонентских данных. Это одна из крупнейших совокупных санкций GDPR, когда-либо выносившихся во Франции за утечку данных.

Методы предотвращения:

• Защита привилегированных внутренних инструментов с помощью устойчивой к фишингу MFA и своевременного доступа (JIT-доступа).
• Токенизация IBAN и платежных идентификаторов, чтобы записи абонентов нельзя было напрямую монетизировать.

3.5 Утечка данных Cegedim Santé (MLM) (2025)#

В октябре 2025 года злоумышленники взломали систему «MonLogicielMedical.com» (MLM) — программное обеспечение для управления медицинской практикой, разработанное Cegedim Santé и используемое тысячами французских медицинских работников. По данным Министерства здравоохранения Франции, инцидент привел к компрометации административных данных примерно 15 миллионов французских пациентов, охватывающих историю за 15 лет и составляющих 19 миллионов цифровых записей.

В своих разъяснениях, опубликованных в феврале 2026 года, Cegedim Santé заявила, что рассматриваемые данные были исключительно административными (идентификационная информация, такая как фамилия, имя и пол), а структурированные клинические записи, медицинские комментарии в свободной форме и деликатные диагнозы, такие как ВИЧ-статус, затронуты не были. 27 октября 2025 года было начато уголовное расследование по факту «несанкционированного доступа к автоматизированной системе обработки данных».

Методы предотвращения:

• Внедрение строгой аутентификации (ключей доступа) для каждого специалиста, обращающегося к облачному медицинскому программному обеспечению.
• Применение строгой минимизации данных и разделение административных идентификационных данных и клинических записей в медицинских SaaS-платформах.

3.6 Утечка данных France Travail через MOVEit (2023)#

До получившего широкую огласку инцидента 2024 года France Travail уже становилась жертвой утечки через третью сторону, связанной с группировкой вымогателей Cl0p, которая эксплуатировала уязвимость нулевого дня в программном обеспечении Progress MOVEit Transfer. В результате атаки была раскрыта личная информация примерно 10 миллионов соискателей работы, включая имена, номера NIR и контактные данные. Это стало частью глобальной волны атак на цепочки поставок MOVEit, затронувшей сотни организаций по всему миру и ставшей предвестником еще более масштабной утечки данных из того же агентства в 2024 году.

Методы предотвращения:

• Поддержание в актуальном состоянии реестра стороннего программного обеспечения для передачи файлов, открытого в интернете, и применение виртуального патчинга в периоды уязвимостей нулевого дня.
• Сегментирование конвейеров передачи файлов от основных баз данных отдела кадров и баз данных граждан.

3.7 Утечка данных Bouygues Telecom (2025)#

4 августа 2025 года Bouygues Telecom, один из крупнейших операторов мобильной связи во Франции с примерно 14,5 млн абонентов мобильной связи и общей абонентской базой около 23 млн, обнаружил кибератаку на систему управления клиентами. Двумя днями позже компания подтвердила, что злоумышленники получили доступ к личным и контрактным данным 6,4 млн клиентов, включая номера IBAN. Пароли и номера платежных карт скомпрометированы не были.

Сообщается, что инцидент, источник которого, как полагают, находится у стороннего поставщика, был передан в CNIL и ANSSI. Согласно статье 323-1 Уголовного кодекса Франции, злоумышленнику грозит до трех лет лишения свободы за несанкционированный доступ к автоматизированной системе обработки данных, а в случае изменения данных или нарушения работы системы этот срок увеличивается до пяти лет. Самой компании Bouygues Telecom грозят проверки со стороны CNIL на предмет соблюдения GDPR при управлении рисками третьих сторон. Этот инцидент является частью более широкой тенденции, от которой в 2024-2025 годах также пострадали SFR (сентябрь 2025 года, банковские реквизиты) и Free.

Методы предотвращения:

• Рассмотрение сторонних поставщиков как части основной поверхности атаки и обязательное требование использования устойчивой к фишингу MFA во всех подключенных системах.
• Токенизация IBAN и других платежных идентификаторов для снижения ценности массовых краж данных.

3.8 Утечка данных Pass'Sport (Декабрь 2025)#

Pass'Sport — это правительственная программа Франции (государственный сектор), реализуемая Министерством спорта, которая предоставляет субсидию в размере 70 евро (ранее 50 евро) молодым людям, имеющим на это право, для оплаты абонементов в спортивные клубы. В ночь с 17 на 18 декабря 2025 года в интернете появился файл размером 15 ГБ, содержащий более 22 миллионов строк данных. В первоначальных сообщениях СМИ утечка ошибочно приписывалась Кассе семейных пособий (CAF), которая публично опровергла любое вторжение на сайт caf.fr. Позже Министерство спорта подтвердило, что данные происходят из информационной системы Pass'Sport и охватывают примерно 3,5 миллиона домохозяйств и 6,4 миллиона уникальных адресов электронной почты бенефициаров и их родителей или опекунов.

Утекшие записи охватывали период с сентября 2024 года по ноябрь 2025 года и включали полные идентификационные данные, почтовые адреса, номера телефонов и адреса электронной почты, но не содержали банковских данных или паролей. Набор данных представляет особую ценность для целевого фишинга против семей с несовершеннолетними, и значительная его часть с тех пор проиндексирована в сервисе Have I Been Pwned.

Методы предотвращения:

• Применение максимально строгой защиты к системам, обрабатывающим данные несовершеннолетних, включая обязательную устойчивую к фишингу MFA для администраторов.
• Минимизация срока хранения данных бенефициаров после истечения срока действия программы.

3.9 Утечка данных Sport 2000 (2024)#

В апреле 2024 года французский ритейлер спортивных товаров Sport 2000 столкнулся с утечкой данных, которая позже была проиндексирована в Have I Been Pwned. Злоумышленник, действующий под псевдонимом «ChatNoir7331», выставил на продажу на хакерском форуме базу данных из 4,4 миллионов строк с 3,2 миллионами уникальных адресов электронной почты, а впоследствии, в июне 2024 года, этот набор данных был бесплатно опубликован повторно. Утечка включала имена, адреса электронной почты и почтовые адреса, номера телефонов, даты рождения и подробную историю покупок с привязкой к конкретным магазинам.

Комбинация контактных данных и истории покупок в конкретных магазинах делает утечку Sport 2000 особенно полезной для высокоцелевого фишинга («ваша недавняя покупка в Sport 2000 Лион...») и показывает, как французские ритейлеры среднего размера могут допустить утечки потребительского масштаба, когда маркетинговые базы данных плохо сегментированы.

Методы предотвращения:

• Сегментирование маркетинговых и транзакционных баз данных, а также регулярная смена токенов доступа (ротация токенов), используемых сторонними маркетинговыми инструментами.
• Минимизация сроков хранения исторических данных о покупках, привязанных к идентифицируемым клиентам.

3.10 Утечка данных Федерации футбола Франции (2025)#

В 2025 году Федерация футбола Франции (Fédération Française de Football, FFF) сообщила об утечке, в результате которой были раскрыты личные данные ее лицензированных членов. По данным FFF, на сезон 2023-2024 годов насчитывалось примерно 2,38 миллиона лицензированных членов. Согласно собственному уведомлению FFF о «краже данных» (vol de données), инцидент затронул идентификационные и контактные данные (имена, даты рождения, номера лицензий и некоторые документы, удостоверяющие личность) и явно исключал медицинские данные. Инцидент с FFF стал частью волны, от которой также пострадали Федерация парусного спорта Франции, Федерация гимнастики Франции, Федерация стрельбы Франции и другие, подтвердив, что французские спортивные федерации являются привлекательной мишенью из-за их больших исторически накопленных наборов данных и сравнительно небольших бюджетов на ИТ-безопасность.

Методы предотвращения:

• Приоритетное инвестирование в кибербезопасность федераций и некоммерческих организаций, хранящих данные своих членов за десятилетия.
• Удаление исторических записей, которые больше не нужны для поддержания лицензий.

4. Как сообщить об утечке данных во Франции#

В соответствии со статьей 33 GDPR, французские контролеры (операторы) данных обязаны сообщить об утечке персональных данных в CNIL в течение 72 часов после того, как им стало об этом известно. Если утечка может привести к высокому риску для затронутых лиц, статья 34 GDPR требует уведомить их без неоправданной задержки. Операторы жизненно важных услуг (OIV) и операторы основных услуг (OSE) дополнительно уведомляют ANSSI; процесс полного переноса директивы NIS2 во французское законодательство в 2026 году все еще продолжался.

4.1 Правило 72 часов в GDPR (Статья 33)#

Согласно статье 33 GDPR, контролер должен уведомить CNIL об утечке персональных данных не позднее, чем через 72 часа после того, как ему стало об этом известно. При задержке уведомления контролер должен указать причины. Уведомление должно содержать описание характера нарушения, категорий и примерного количества пострадавших лиц, вероятных последствий, а также принятых или предложенных мер.

4.2 Компетентный орган: CNIL#

В отличие от Германии с ее 16 надзорными органами на уровне земель, во Франции существует единый национальный надзорный орган: Национальная комиссия по информатике и свободам (CNIL). CNIL следит за соблюдением GDPR как контролерами государственного, так и частного сектора и имеет право налагать административные штрафы в размере до 20 миллионов евро или 4% от общего мирового годового оборота компании — в зависимости от того, какая сумма больше. Недавние совместные санкции против Free Mobile и Free (42 миллиона евро, из которых 27 миллионов против Free Mobile) и France Travail (5 миллионов евро) показывают, что CNIL перешла от предупреждений к карательным мерам.

4.3 Уведомление ANSSI для OIV, OSE и в рамках NIS2#

Операторы жизненно важных (OIV) и основных (OSE) услуг также должны сообщать о значительных киберинцидентах в ANSSI, национальное агентство кибербезопасности Франции. Директива NIS2 расширяет обязательную отчетность на большее количество секторов, включая поставщиков цифровых услуг, производство и переработку отходов. Ее внедрение во французское законодательство в 2026 году все еще находилось в стадии реализации, и ANSSI заявило, что будет продолжать информировать о ходе процесса; Европейская комиссия также выпустила мотивированное заключение о неполной транспозиции. После вступления в силу отчеты будут предоставляться поэтапно: раннее предупреждение в течение 24 часов, полное уведомление в течение 72 часов и итоговый отчет в течение одного месяца.

4.4 Индивидуальное уведомление (Статья 34)#

Когда утечка с высокой вероятностью может привести к серьезному риску для прав и свобод физических лиц, статья 34 GDPR требует прямого уведомления пострадавших ясным и понятным языком. Случаи с France Travail, Viamedis, Free и Cegedim Santé — все они повлекли за собой обязательства по статье 34. Невыполнение требования об уведомлении часто является поводом для дополнительных штрафов со стороны регулирующих органов в дополнение к санкциям за саму утечку.

5. Тенденции утечек данных во Франции#

Во всех десяти случаях повторяются четыре модели: концентрация данных граждан в высокоцифровизированном государственном секторе, компрометация третьих лиц и цепочек поставок как доминирующая точка входа, использование атак типа credential stuffing (подстановки учетных данных), превращающих французские публичные порталы в легкие мишени, и деятельность CNIL, которая быстро наращивает правоприменительную практику. Понимание этих закономерностей полезнее, чем простое заучивание отдельных инцидентов.

5.1 Цифровизация государственного сектора создает общенациональную поверхность атаки#

Случаи France Travail, OFII, FICOBA и Pass'Sport показывают, насколько сильно данные граждан сконцентрированы в нескольких государственных платформах. Взлома аккаунта одного консультанта в Cap Emploi оказалось достаточно, чтобы раскрыть 43 миллиона записей; одной утечки в партнерской интеграции Pass'Sport хватило, чтобы раскрыть данные 3,5 миллионов домохозяйств. Зависимость Франции от FranceConnect и общих учетных записей государственных служб усиливает этот риск: один скомпрометированный пароль, привязанный к номеру социального страхования (NIR), может разблокировать сразу несколько государственных сервисов.

5.2 Сторонние поставщики являются критическим слабым звеном#

Случаи с Viamedis, Almerys, Cegedim Santé, Bouygues Telecom и инцидент 2023 года с France Travail MOVEit имеют одну и ту же первопричину: компрометацию на стороне третьей стороны, а не самого бренда. Даже организации со зрелыми внутренними программами безопасности остаются уязвимыми через сети своих поставщиков. Модель медицинского страхования "tiers payant", в которой небольшая группа обработчиков работает с данными десятков компаний, особенно уязвима перед утечками из-за единой точки отказа.

5.3 Подстановка учетных данных превращает государственные порталы в легкие мишени#

Атаки типа credential stuffing (подстановка учетных данных) стали стандартным продолжением после любой утечки во Франции. В феврале 2024 года хакерская группа LulzSec заявила о компрометации до 600 000 учетных записей CAF исключительно за счет повторного использования паролей, без какого-либо технического взлома сайта caf.fr. Последующая утечка в августе 2024 года выявила еще 60 369 комбинаций логинов CAF (NIR + пароль) на хакерском форуме. Пока французские государственные службы принимают вход по паролю, каждая новая утечка данных где-либо в Европе подпитывает атаки с использованием подстановки учетных данных против них.

5.4 Практика применения штрафов CNIL набирает обороты#

По состоянию на январь 2026 года CNIL перешла от предупреждений к карательным мерам. 13 января 2026 года Free Mobile и Free были совместно оштрафованы на 42 млн евро (27 млн в отношении Free Mobile и 15 млн в отношении Free), а France Travail 22 января 2026 года оштрафована на 5 млн евро по статье 32 GDPR (максимально допустимый штраф для госоргана — 10 млн евро). Исторически средние штрафы CNIL оставались значительно ниже предельных значений, установленных GDPR. Вместе с растущим числом коллективных исков о возмещении ущерба по статье 82, Франция теперь перешла в ту же лигу правоприменения, что и Германия, Нидерланды и Ирландия.

6. Заключение#

Десять крупнейших недавних утечек данных во Франции говорят об одном: учетные данные и сторонний доступ являются общим знаменателем. Скомпрометированные с помощью социальной инженерии аккаунты консультантов France Travail, пострадавшие от фишинга медицинские работники Viamedis, скомпрометированный внутренний инструмент Free, уязвимая партнерская интеграция Pass'Sport и сторонний поставщик Bouygues Telecom — все это сводится к одной и той же базовой слабости: люди и поставщики аутентифицируются с помощью паролей в системах, которые хранят данные граждан, накопленные за десятилетия.

Меры противодействия столь же единообразны: устойчивая к фишингу аутентификация, такая как ключи доступа (passkeys), строгий контроль доступа третьих лиц, постоянный мониторинг даркнета и готовность уведомить CNIL в течение 72 часов. Поскольку теперь CNIL выписывает штрафы с восемью и девятью нулями, те французские организации, которые в 2026 году сделают эти меры приоритетными на уровне руководства, смогут избежать как регуляторных санкций, так и репутационного ущерба, характерных для французских утечек последних трех лет.

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →

Часто задаваемые вопросы#

Что представляла собой утечка данных France Travail в 2024 году?#

В марте 2024 года France Travail (бывший Pôle Emploi) и Cap Emploi сообщили о крупнейшей утечке данных в истории Франции. Злоумышленники использовали социальную инженерию для захвата учетных записей консультантов Cap Emploi и вывели персональные данные до 43 миллионов соискателей работы за последние 20 лет, включая имена, даты рождения, номера социального страхования, идентификаторы France Travail и контактную информацию. 22 января 2026 года CNIL оштрафовала France Travail на 5 млн евро в соответствии со статьей 32 GDPR (законодательный максимум для госоргана составляет 10 млн евро).

Как сообщить об утечке данных во Франции?#

В соответствии со статьей 33 GDPR французские контролеры (операторы данных) обязаны уведомить CNIL в течение 72 часов после того, как им стало известно об утечке персональных данных. Если утечка может повлечь за собой высокий риск для пострадавших, статья 34 требует уведомить их без неоправданной задержки. Операторы жизненно важных (OIV) и основных (OSE) услуг уведомляют ANSSI в соответствии с действующим законодательством Франции; процесс полного внедрения директивы NIS2 во французское законодательство все еще продолжался в 2026 году.

Каков крупнейший штраф CNIL, когда-либо вынесенный после утечки данных во Франции?#

13 января 2026 года CNIL оштрафовала Free Mobile на 27 млн евро, а Free на 15 млн евро (в совокупности 42 млн евро) за ненадлежащую безопасность, что способствовало утечке данных в 2024 году, затронувшей 24,6 млн контрактов, включая 5,11 млн номеров IBAN. Это одна из крупнейших совокупных санкций GDPR, когда-либо применявшихся во Франции за утечку данных. France Travail была оштрафована на 5 млн евро 22 января 2026 года в соответствии со статьей 32.

Почему Франция стала такой привлекательной целью для утечек данных?#

Франция сочетает в себе высокоцифровизированный государственный сектор (France Travail, CAF, DGFiP, OFII), плотную экосистему медицинских платежей (Viamedis, Almerys, Cegedim) и три крупных телеком-оператора, каждый из которых хранит десятки миллионов записей абонентов. Хроническое недофинансирование кибербезопасности по отношению к ВВП, сильная зависимость от сторонних платформ и атаки с использованием социальной инженерии, направленные на консультантов, работающих с населением, объясняют, почему в период с 2024 по 2025 год было раскрыто более 145 миллионов французских записей.

Как утечки данных во Франции способствуют атакам типа credential stuffing (подстановки учетных данных)?#

Утечки раскрывают адреса электронной почты, номера социального страхования и часто пароли, которые продаются на теневых форумах. Злоумышленники используют эти учетные данные против банков, государственных служб и розничных магазинов, эксплуатируя повторное использование паролей. Инцидент с CAF в феврале 2024 года привел к компрометации до 600 000 учетных записей исключительно путем подстановки учетных данных, без какого-либо технического взлома сайта caf.fr, что наглядно демонстрирует, как утечки во Франции продолжают подпитывать атаки еще долгое время после их раскрытия.