Toutes les fuites de données récentes en France.
En 24 mois, plus de 140 millions de Français ont vu leurs données personnelles exposées dans des cyberattaques contre des entreprises et organismes publics français. Cette page recense les 11 fuites les plus impactantes — avec, pour chacune, les sources presse et un formulaire pour exiger en quelques clics l'effacement de vos données auprès du DPO concerné, au titre des articles 17 et 21 du RGPD.
Belambra
Fuite par faille IDOR exposant 402 000 personnes dont ~360 000 dossiers de mineurs (prénom, âge, dates de séjour). Des SMS d'arnaque citant le prénom des enfants ont déjà été signalés par des familles.
Cegedim Santé / MonLogicielMedical
Compromission par credential stuffing sur 1 500 médecins utilisant le logiciel MLM. Spécificité : 164 000 dossiers contiennent des commentaires médicaux en texte libre saisis par les médecins.
CAF (Caisse d'Allocations Familiales)
22,4 millions de lignes revendiquées par le groupe ShinyHunters / Hollow comme « cadeau de Noël ». Plus grosse fuite sur un organisme de prestations sociales en France. Cible privilégiée : familles précaires, idéales pour les arnaques RSA, APL et prime activité.
SFR fibre (raccordement)
Intrusion sur l'outil interne de gestion des interventions de raccordement fibre. Spécificité : adresses précises des prises FTTH exposées. Risque cambriolage avant phishing — l'adresse exacte de votre prise révèle votre logement.
URSSAF (Caisse nationale)
Accès frauduleux via un compte de partenaire externe DSN. Les 12 millions de salariés exposés ne se sont jamais inscrits directement à l'URSSAF — l'URSSAF est l'agrégateur invisible de tous les contrats de travail français.
Bouygues Telecom
Cyberattaque détectée et stoppée en 48 heures, mais qui a quand même exposé les IBAN de 6,4 millions d'abonnés Bbox et Bouygues Mobile. Illustration que la rapidité de réaction ne suffit pas si la donnée est centralisée.
Auchan (récidive Waaoh)
Deuxième fuite en 9 mois après celle de novembre 2024 — cas d'école de la fuite-récidive par credential stuffing. Spécificité : la composition du foyer (nombre d'adultes/enfants) est exposée, terrain parfait pour les arnaques ciblant familles nombreuses.
SFR (novembre 2024)
Deuxième fuite SFR en un an (après celle de septembre 2024). 150 000 IBAN publiés gratuitement après refus de SFR de payer une rançon de 500 €. SFR cumule trois fuites en 15 mois — unique opérateur dans deux affaires CNIL distinctes la même année.
Free / Free Mobile
5,1 millions d'IBAN exfiltrés — la plus grosse fuite IBAN de l'histoire française. Cause : intrusion via VPN insuffisamment sécurisé. Sanction CNIL record de 42 millions d'euros en mai 2026.
France Travail (ex-Pôle emploi)
La plus large fuite touchant un service public français. 20 ans d'inscriptions exposées (2004-2024). Le numéro de Sécurité sociale (NIR) exfiltré pour tous, combiné aux nom/prénom/date de naissance — combinaison parfaite pour l'usurpation administrative. Sanction CNIL : 5 M€.
Viamedis & Almerys (tiers payant)
Première fuite à exposer à grande échelle le numéro NIR d'un Français sur deux. Cause : phishing ciblé sur des professionnels de santé (médecins, pharmaciens) pour vol d'identifiants pro. Déclencheur du plan d'action CNIL « infrastructures de santé » 2024-2026.