Fuite SFR — Novembre 2024 Divulguée en novembre 2024

Effacez vos données chez SFR —
3,6 millions de clients exposés en novembre 2024, dont 150 000 IBAN.

Demandez l'effacement maintenant. Il vous faut deux minutes, votre nom et votre email.

Gratuit Sans compte Sans carte bancaire Vous gardez la copie

Sources confirmées (presse + base spécialisée)

L'Usine Digitale · récidive nov 2024 INQUEST · analyse experte Clubic · risque IBAN L'Usine Digitale · précédente fuite Univers Freebox · contexte télécoms

Tous les chiffres affichés ci-dessus (3,6 millions de clients, 150 000 IBAN, récidive après septembre 2024) sont confirmés par ces 5 sources et par le communiqué de SFR à ses abonnés.

⚖️ Demande RGPD — Articles 17 et 21

Supprimez vos données chez SFR

Renseignez l'identité utilisée chez SFR. Aucune carte bancaire, aucun compte Sheeldy nécessaire. Service entièrement gratuit.

Prénom *

Nom *

Email utilisé chez SFR *

L'adresse associée à votre Espace Client SFR. C'est elle qui sera citée dans la demande au DPO.

Numéro de ligne ou de client SFR (facultatif)

Optionnel mais accélère le traitement côté SFR. Vous le trouvez sur votre dernière facture ou dans votre Espace Client.

En cliquant « Envoyer la demande », vous autorisez Sheeldy à transmettre en votre nom à SFR une demande de suppression de vos données personnelles (article 17 RGPD) et d'arrêt immédiat de toute prospection commerciale (article 21 RGPD), rédigée à la première personne comme si vous l'écriviez. Vous serez mis en copie de l'email envoyé.

SFR, troisième piratage en un an : pourquoi votre opérateur est devenu une cible récurrente

Q: Comment savoir si mon compte est concerné par la fuite de septembre ou celle de novembre 2024 ?

SFR a subi deux fuites distinctes en 2024 : une en septembre (50 000 IBAN exposés) et une en novembre (3,6 millions de clients, dont 150 000 IBAN). Pour vérifier si vous figurez dans l'une ou l'autre, connectez-vous à votre Espace Client SFR et consultez les notifications envoyées par l'opérateur. Sheeldy adresse la demande RGPD couvrant les deux périmètres simultanément, ce qui vous évite de multiplier les démarches.

Q: RED by SFR est-il touché au même titre que SFR ?

Oui. RED by SFR utilise les mêmes systèmes IT que SFR. Si vous êtes abonné RED by SFR, vos données sont dans le même périmètre que les abonnés SFR classiques. La marque RED ne protège pas du risque, elle ne fait que distinguer commercialement les offres.

Q: Mon IBAN exposé — que faire concrètement ?

Avec votre IBAN seul, un fraudeur ne peut pas vider votre compte (la directive SEPA vous protège 8 semaines pour contester un prélèvement). Le risque réel : faux prélèvements automatiques pour des abonnements fictifs. Activez les alertes SMS bancaires, vérifiez vos relevés mensuels, et utilisez l'opposition SEPA via votre banque si vous voyez un prélèvement non autorisé.

Q: Sheeldy envoie-t-il vraiment la demande à SFR ?

Oui. Une fois confirmé par email (double opt-in obligatoire), Sheeldy envoie une demande RGPD au DPO SFR (donnees-personnelles@sfr.com) invoquant les articles 17 (effacement) et 21 (opposition à la prospection) du RGPD. Vous êtes mis en copie, et toute réponse du DPO vous est automatiquement transmise.

Q: Comment SFR a-t-il pu se faire pirater 3 fois en 15 mois ?

Les incidents SFR de septembre 2024, novembre 2024 et décembre 2025 ont des vecteurs différents (outil interne, infrastructure raccordement fibre, etc.) mais révèlent un défaut de gouvernance cybersécurité plus global au niveau du groupe Altice. La CNIL a ouvert une enquête sur la récidive, et une sanction est attendue en 2026.

SFR a confirmé en novembre 2024 une cyberattaque sur l'un de ses outils internes ayant exposé les données de 3,6 millions de clients, dont 150 000 IBAN. C'est la deuxième fuite en moins de trois mois après celle de septembre 2024 qui touchait déjà 50 000 IBAN. Si vous êtes abonné SFR ou RED by SFR, vous pouvez exiger la suppression complète de vos données au titre de l'article 17 du RGPD (droit à l'effacement) et l'arrêt immédiat de toute prospection commerciale au titre de l'article 21. Sheeldy envoie cette demande à votre place, gratuitement, au DPO officiel de SFR.

Section 01 — Les faits

Ce qu'on sait de la fuite SFR de novembre 2024

En novembre 2024, SFR a informé ses abonnés d'une intrusion sur un outil interne ayant permis à un attaquant d'exfiltrer les données personnelles de l'ensemble de ses clients. L'incident survient à peine trois mois après une première fuite, en septembre 2024, qui avait déjà exposé 50 000 IBAN. Cette répétition rapprochée — même groupe, même type de cible, vecteurs distincts — est un signal cybersécurité majeur que les analystes ne manquent pas de relever.

Selon les éléments rapportés par la presse spécialisée, l'attaquant aurait tenté de monnayer les données auprès de SFR contre une rançon de 500 € en cryptomonnaie. Devant le refus de l'opérateur, le hacker aurait publié gratuitement la base sur des forums clandestins. Cette gratuité aggrave le risque côté abonnés : les données sont désormais accessibles à n'importe quel cybercriminel cherchant un fichier prêt à l'emploi pour du phishing ciblé.

Clients exposés

~3,6 M

IBAN exposés

~150 000

Période

Novembre 2024

Cause

Outil interne

Le point qui fait basculer cette affaire d'un incident isolé à un signal de gouvernance, c'est la récidive. En quinze mois, SFR cumule plusieurs incidents distincts (septembre 2024, novembre 2024, puis un troisième en décembre 2025 sur une infrastructure différente). Chaque vecteur est différent — c'est précisément ce qui inquiète : ce ne sont pas les mêmes équipes ni les mêmes systèmes, mais c'est le même groupe qui collectionne les notifications CNIL.

Source presse

L'Usine Digitale — SFR victime d'une fuite de données personnelles de ses clients, un an après la précédente

Section 02 — Le détail

Quelles données ont fuité ?

SFR a communiqué le périmètre précis des données concernées par l'incident de novembre 2024. Deux bonnes nouvelles : les mots de passe de l'Espace Client n'ont pas été compromis, et les numéros de carte bancaire complets n'ont pas fuité. Le mauvais côté : les IBAN d'environ 150 000 clients sont dans la nature, ce qui change la nature du risque par rapport à un simple fichier emails.

— Exposées

Identité complèteNom, prénom, civilité du titulaire de la ligne

IBAN pour 150 000 clientsRisque de faux prélèvements SEPA frauduleux

Données contractuellesAdresse postale, type d'offre, numéro de ligne

Coordonnées de contactEmail et téléphone — vecteur de phishing ciblé

— Préservées

✓

Mots de passe Espace ClientNe nécessitent pas de changement post-fuite

✓

Numéro de carte bancaire completAucune CB exposée dans cette fuite

✓

Contenu des SMS et des appelsAucune correspondance ni métadonnée d'appel dans le périmètre

Section 03 — Vos droits

Ce que Sheeldy demande, et ce que SFR doit obligatoirement faire

Sheeldy envoie à SFR une demande RGPD cumulative, c'est-à-dire qu'elle invoque deux articles à la fois pour maximiser ce que vous obtenez :

Article 17 du RGPD — droit à l'effacement : SFR doit supprimer l'intégralité des données qu'il détient sur vous, dès lors qu'au moins l'un des motifs s'applique (contrat résilié, retrait du consentement marketing, fuite récente remettant en cause la licéité du maintien des données dans un environnement qui s'est révélé vulnérable…).
Article 21 du RGPD — droit d'opposition à la prospection : SFR doit cesser sans délai toute communication marketing, newsletter, SMS commerciaux et profilage publicitaire. Ce droit est absolu et inopposable — aucune justification recevable de la part de SFR.

Ce qui est garanti immédiatement (art. 21) : l'arrêt de toutes les communications marketing, newsletters, SMS commerciaux et utilisation de vos données pour du profilage publicitaire. SFR n'a pas le droit de refuser.

Ce qui dépend des obligations légales du secteur télécoms (art. 17) : la suppression complète de votre compte client. SFR peut conserver certaines données pour répondre à ses obligations comptables, fiscales et aux exigences de conservation des données de connexion imposées aux opérateurs télécoms (article 17.3.b RGPD). En pratique, l'essentiel des données identifiantes et commerciales doit être supprimé, mais les traces nécessaires aux obligations légales peuvent rester archivées dans un système restreint.

Récidive et action collective à venir : la CNIL a ouvert une enquête sur la répétition des incidents SFR (septembre 2024, novembre 2024, puis décembre 2025). Une sanction pécuniaire est attendue en 2026, et plusieurs cabinets se positionnent déjà sur une action de groupe au titre de l'article 80 du RGPD. Faire valoir vos droits dès maintenant — effacement et opposition — constitue une trace utile en cas de procédure ultérieure : vous prouvez que vous avez agi en victime diligente.

SFR dispose d'un mois pour répondre formellement (article 12.3 RGPD), prolongeable à trois mois sur motivation. Sans réponse à J+30, vous pouvez saisir la CNIL.

Remonter au formulaire

Questions fréquentes — Fuite SFR

Comment savoir si mon compte est concerné par la fuite de septembre ou celle de novembre 2024 ?

SFR a subi deux fuites distinctes en 2024 : une en septembre (50 000 IBAN exposés) et une en novembre (3,6 millions de clients, dont 150 000 IBAN). Pour vérifier si vous figurez dans l'une ou l'autre, connectez-vous à votre Espace Client SFR et consultez les notifications envoyées par l'opérateur. Sheeldy adresse la demande RGPD couvrant les deux périmètres simultanément, ce qui vous évite d'avoir à choisir et de multiplier les démarches.

RED by SFR est-il touché au même titre que SFR ?

Oui. RED by SFR utilise les mêmes systèmes IT que SFR. Si vous êtes abonné RED by SFR, vos données sont dans le même périmètre que les abonnés SFR classiques. La marque RED ne protège pas du risque, elle ne fait que distinguer commercialement les offres low-cost. La demande RGPD envoyée par Sheeldy couvre indifféremment les deux marques.

Puis-je résilier sans frais mon contrat SFR au motif du manquement à la sécurité ?

Vous pouvez tenter, mais SFR refuse généralement. Le motif de manquement à la sécurité RGPD peut justifier une résiliation auprès du médiateur des communications électroniques (MCE) si vous prouvez un préjudice. Sheeldy se concentre sur l'effacement et l'arrêt du marketing — la résiliation est une démarche séparée à engager auprès du service client SFR, puis du MCE en cas de refus.

Mon IBAN exposé — que faire concrètement ?

Avec votre IBAN seul, un fraudeur ne peut pas vider votre compte (la directive SEPA vous protège 8 semaines pour contester un prélèvement). Le risque réel : faux prélèvements automatiques pour des abonnements fictifs. Activez les alertes SMS bancaires, vérifiez vos relevés mensuels, et utilisez l'opposition SEPA via votre banque si vous voyez un prélèvement non autorisé. Vous n'avez pas besoin de demander un nouveau RIB systématiquement, sauf si un prélèvement frauduleux est constaté.

Sheeldy envoie-t-il vraiment la demande à SFR ?

Oui. Une fois que vous avez confirmé votre demande par email (double opt-in obligatoire, pour vous protéger des demandes frauduleuses faites par un tiers en votre nom), Sheeldy envoie une demande rédigée à la première personne (comme si vous l'écriviez) à donnees-personnelles@sfr.com, invoquant cumulativement les articles 17 (effacement) et 21 (opposition à la prospection) du RGPD. Vous êtes mis en copie de l'envoi, et toute réponse du DPO vous est directement transmise (Reply-To configuré sur votre adresse).

Comment SFR a-t-il pu se faire pirater 3 fois en 15 mois ?

Les incidents SFR de septembre 2024, novembre 2024 et décembre 2025 ont des vecteurs différents (outil interne, infrastructure raccordement fibre, etc.) mais révèlent un défaut de gouvernance cybersécurité plus global au niveau du groupe Altice. La CNIL a ouvert une enquête sur la récidive, et une sanction est attendue en 2026. Plusieurs cabinets se positionnent par ailleurs sur une action de groupe au titre de l'article 80 du RGPD — d'où l'intérêt de faire valoir vos droits dès maintenant, comme trace de diligence.

Mentions RGPD applicables à ce formulaire

Responsable de traitement : Sheeldy (sheeldy.com). Finalité : transmettre en votre nom au DPO de SFR une demande d'effacement et d'opposition à la prospection (articles 17 et 21 RGPD), rédigée à la première personne. Base légale : votre demande explicite via le formulaire (art. 6.1.a RGPD). Destinataires : SFR (DPO) et, le cas échéant, la CNIL en cas de recours. Durée de conservation : 3 ans pour la trace de la demande. Vos droits sur vos données chez Sheeldy : accès, rectification, effacement, opposition — à exercer auprès de privacy@sheeldy.com. Politique complète : conditions d'utilisation.