Fuite Bouygues Telecom — Août 2025

Effacez vos données chez Bouygues Telecom
6,4 millions de comptes exposés, IBAN inclus.

Demandez l'effacement maintenant. Il vous faut deux minutes, votre nom et votre email.

Gratuit Sans compte Sans carte bancaire Vous gardez la copie
Sources confirmées (presse + base spécialisée)
Bouygues Telecom · communiqué officiel Préfecture Savoie · officiel franceinfo · IBAN volés The Record · analyse intl L'Usine Digitale · 6,4M clients

Tous les chiffres affichés ci-dessus (6,4 millions de comptes, IBAN exposés, détection en 48h) sont confirmés par ces 5 sources et par le communiqué officiel de Bouygues Telecom.

⚖️ Demande RGPD — Articles 17 et 21
Supprimez vos données chez Bouygues Telecom
Renseignez l'identité utilisée chez Bouygues Telecom (Bbox ou mobile). Aucune carte bancaire, aucun compte Sheeldy nécessaire. Service entièrement gratuit.
L'adresse rattachée à votre Espace Client (Bbox ou mobile). C'est elle qui sera citée dans la demande au DPO.
Optionnel mais accélère le traitement côté Bouygues Telecom. Vous le trouvez sur votre facture ou dans votre Espace Client.

En cliquant « Envoyer la demande », vous autorisez Sheeldy à transmettre en votre nom à Bouygues Telecom une demande de suppression de vos données personnelles (article 17 RGPD) et d'arrêt immédiat de toute prospection commerciale (article 21 RGPD), rédigée à la première personne comme si vous l'écriviez. Vous serez mis en copie de l'email envoyé.

Bouygues Telecom : 48 heures pour stopper l'attaque, 6,4 millions d'IBAN déjà entre des mains hostiles

Bouygues Telecom a confirmé en août 2025 une cyberattaque touchant 6,4 millions de comptes clients, avec exfiltration de l'identité, de l'état civil, des données contractuelles et — surtout — des IBAN de prélèvement. L'intrusion a été détectée et stoppée en 48 heures par la SOC interne, mais le mal était fait : les IBAN d'un abonné sur deux en France circulent désormais hors du périmètre Bouygues. Vous pouvez exiger la suppression complète de vos données au titre de l'article 17 du RGPD (droit à l'effacement) et l'arrêt immédiat de toute prospection commerciale au titre de l'article 21. Sheeldy envoie cette demande à votre place, gratuitement, au DPO officiel de Bouygues Telecom.

Section 01 — Les faits

Ce qu'on sait de la fuite Bouygues Telecom

Début août 2025, le SOC interne de Bouygues Telecom détecte une activité anormale sur l'un de ses systèmes hébergeant les données contractuelles clients. L'intrusion est stoppée en 48 heures, l'accès attaquant coupé, et un communiqué officiel publié dans la foulée. Sur le papier, c'est une réaction modèle — sauf que la fenêtre d'exfiltration a suffi à siphonner les comptes de 6,4 millions d'abonnés Bbox et mobile.

Le vecteur d'intrusion exact n'a pas été rendu public par Bouygues Telecom. Ce qui est confirmé, c'est l'exfiltration : identité, état civil, données contractuelles, IBAN de prélèvement, et données entreprise pour les comptes pros. Les IBAN étaient stockés en base sans chiffrement spécifique au champ — une fois la base accessible, ils étaient lisibles tels quels. C'est précisément ce point qui transforme un incident court en problème durable : une politique de centralisation sans chiffrement granulaire annule le bénéfice d'une détection rapide.

Comptes touchés
~6,4 M
IBAN exposés
Inclus
Détection
48 h
Cause
Intrusion système

La particularité de cette fuite, c'est la permanence du risque IBAN. Un mot de passe se change en une minute, une carte bancaire se fait réémettre en cinq jours — un IBAN, lui, est attaché à votre compte courant pour toute sa durée de vie. Vous ne pouvez pas le « renouveler ». Les fraudeurs disposent donc d'un identifiant bancaire valide à long terme, exploitable pour tenter des prélèvements SEPA non autorisés ou alimenter des campagnes de phishing personnalisé (« votre prélèvement Bouygues du XX/XX a été rejeté, régularisez ici… »).

Source officielle
Bouygues Telecom — Communiqué officiel sur la cyberattaque
Section 02 — Le détail

Quelles données ont fuité ?

Bouygues Telecom a communiqué la liste précise des champs exposés. Les mots de passe et les numéros de carte bancaire n'ont pas été touchés — mais la combinaison identité complète + IBAN + données contractuelles constitue une « kit phishing financier » prêt à l'emploi.

— Exposées

Identité (nom, prénom, adresse, téléphone)Base d'un spear-phishing ultra-crédible
IBAN de prélèvementIdentifiant bancaire permanent, impossible à changer comme un mot de passe
Données contractuellesNuméro de ligne, type d'offre Bbox/mobile, ancienneté
Données pro (contrats entreprises)SIRET, contact pro, IBAN de prélèvement entreprise

— Préservées

Mots de passe Espace ClientStockés séparément, non touchés par l'intrusion
Numéros de carte bancaireAucune compromission CB directe
Contenu des SMS et appelsPérimètre télécom non concerné par l'intrusion
Section 03 — Vos droits

Ce que Sheeldy demande, et ce que Bouygues Telecom doit obligatoirement faire

Sheeldy envoie à Bouygues Telecom une demande RGPD cumulative, c'est-à-dire qu'elle invoque deux articles à la fois pour maximiser ce que vous obtenez :

Ce qui est garanti immédiatement (art. 21) : l'arrêt de toutes les communications marketing, newsletters, SMS commerciaux et utilisation de vos données pour du profilage publicitaire. Bouygues n'a pas le droit de refuser, même sur un contrat actif.

Ce qui dépend de votre statut contractuel (art. 17) : la suppression complète de votre compte et de votre historique. Tant que votre abonnement Bbox ou mobile est actif, Bouygues peut conserver les données nécessaires à la facturation (article 17.3.b RGPD). Après résiliation, l'essentiel doit être supprimé, mais les justificatifs nécessaires aux obligations comptables et fiscales (~10 ans) peuvent rester archivés.

Le cas spécifique de l'IBAN. Contrairement à un mot de passe, votre IBAN reste exposé à vie une fois divulgué — vous ne pouvez pas le « renouveler » sans changer de banque. Sheeldy recommande d'activer les alertes SMS bancaires pour tout nouveau mandat SEPA et de surveiller la liste de vos prélèvements autorisés depuis votre espace banque. La directive SEPA vous donne 8 semaines pour contester sans justification un prélèvement non autorisé.

Bouygues Telecom dispose d'un mois pour répondre formellement (article 12.3 RGPD), prolongeable à trois mois sur motivation. Sans réponse à J+30, vous pouvez saisir la CNIL.

Remonter au formulaire

Questions fréquentes — Fuite Bouygues Telecom

Faut-il révoquer mes mandats SEPA Bbox/Mobile suite à la fuite ?
Pas obligatoire mais recommandé pour les abonnements non essentiels. Avec votre IBAN seul, un fraudeur ne peut pas vider votre compte mais peut tenter des prélèvements SEPA non autorisés. La directive SEPA vous donne 8 semaines pour contester sans justification auprès de votre banque. Activez les alertes SMS pour tout nouveau prélèvement entrant — c'est gratuit dans la quasi-totalité des banques françaises et vous permet de réagir en temps réel.
Pourquoi Bouygues Telecom n'a-t-il pas envoyé de SMS individuel ?
Bouygues a notifié par email à fin août 2025 et a publié un communiqué officiel sur son site corporate. Aucun SMS individuel n'a été envoyé, et c'est délibéré : ce type de fuite déclenche systématiquement une vague d'arnaques par SMS prétendant venir de l'opérateur (« votre prélèvement a échoué, régularisez ici… »). Multiplier les SMS officiels rendrait ces arnaques plus crédibles. Vous pouvez vérifier votre exposition en vous connectant directement à votre Espace Client.
Mon contrat pro Bouygues Telecom Entreprises est-il concerné ?
Oui, les comptes pros ont été touchés de la même manière. SIRET, contacts pro, et IBAN de prélèvement des abonnements entreprise sont concernés. Sheeldy traite la demande d'effacement de la même manière pour pros et particuliers — le DPO de Bouygues Telecom est le même point d'entrée juridique pour les deux périmètres.
Bbox uniquement, ou aussi mobile ?
Les deux périmètres sont touchés par la même intrusion système : Bbox fixe et Bouygues Mobile / B&You. Que vous soyez abonné fixe, mobile, ou les deux, vos données sont dans la base potentiellement exfiltrée. Les abonnés multi-produits ne reçoivent qu'une seule notification mais leurs données sont donc consolidées dans l'exfiltration.
Sheeldy envoie-t-il vraiment la demande à Bouygues Telecom ?
Oui. Une fois que vous avez confirmé votre demande en cliquant sur le lien reçu par email (double opt-in obligatoire, pour vous protéger des demandes frauduleuses faites par un tiers en votre nom), Sheeldy envoie via la plateforme une demande rédigée à la première personne (comme si vous l'écriviez vous-même) à dpo@bouyguestelecom.fr, invoquant cumulativement les articles 17 (effacement) et 21 (arrêt immédiat du marketing) du RGPD. Vous êtes mis en copie de l'envoi, et toute réponse du DPO vous est directement transmise (Reply-To configuré sur votre adresse).
Bouygues Telecom peut-il refuser d'effacer mon compte si je suis encore abonné ?
Oui, partiellement. Tant que votre abonnement est actif, Bouygues a une obligation contractuelle de conservation des données nécessaires à la facturation (article 17.3.b RGPD). En revanche, Bouygues doit immédiatement cesser tout traitement à des fins de prospection (article 21), qui est un droit absolu et inopposable même sur un contrat actif. Pour une suppression totale, la séquence efficace est : résilier d'abord, puis renouveler la demande d'effacement une fois le contrat clos.
Mentions RGPD applicables à ce formulaire

Responsable de traitement : Sheeldy (sheeldy.com). Finalité : transmettre en votre nom au DPO de Bouygues Telecom une demande d'effacement et d'opposition à la prospection (articles 17 et 21 RGPD), rédigée à la première personne. Base légale : votre demande explicite via le formulaire (art. 6.1.a RGPD). Destinataires : Bouygues Telecom (DPO) et, le cas échéant, la CNIL en cas de recours. Durée de conservation : 3 ans pour la trace de la demande. Vos droits sur vos données chez Sheeldy : accès, rectification, effacement, opposition — à exercer auprès de privacy@sheeldy.com. Politique complète : conditions d'utilisation.