Les vols de données sont de plus en plus fréquents depuis 2025. Simon Fabre Malassis revient sur ces entreprises et institutions de plus en plus piratées. Il nous rappelle aussi le bon comportement à adopter lors du partage d’informations personnelles en ligne.
Le 30 janvier 2026, les données de Code Rousseau, OpQuast et ManoMano ont été exposées en ligne. Le 29 janvier, c’était au tour de Réseau.site, VeryChic, SFR et Match Group de subir des fuites de données. Et le 28 janvier, 11 agences immobilières, ainsi que des entreprises comme O’tacos, Techni-Contact, Lyleoo, Coriolis, Lovys, UGSEL, le CNAM et le Centre d’imagerie médicale de Puteaux ont vu les informations personnelles de leurs clients circuler librement.
Ces fuites de données sont recensées sur le site bonjourlafuite.eu.org, dont la page d’accueil affiche : “C’est qui qui a fuité aujourd’hui ?”. En cliquant pour comprendre pourquoi ces incidents se répètent, les auteurs du site suggèrent, ironiquement, que la Commission Nationale de l’Informatique et des Libertés (CNIL), qui s’occupe de veiller à la protection des données personnelles, est “à son cours d’aquaponey”.
En décembre 2024, c’est le ministère des sports qui a vu ces données s’envoler vers le dark web, touchant 3.5 millions de foyers. Le nom, le prénom, la date de naissance, le mail et l’adresse postale, le numéro de téléphone mais aussi le numéro de Sécurité Sociale, l’INE ou le numéro de la CAF, toutes ces données sont désormais mises en vente sur le dark web ou sur des sites internet.
Pour Simon Fabre Malassis, Délégué à la protection des données et interlocuteur principal entre l’Agence de l’Enseignement Français à l’Etranger (AEFE) et la CNIL, lorsque les données des entreprises fuient sur le dark web, il est difficile d’agir pour les récupérer. Des “mesures de précaution en fonction de la gravité et du type de données personnelles impactées” peuvent être mises en place. La société ou l’administration a “l’obligation de communiquer aux personnes impactées” par ces fuites.
L’enjeu d’un piratage
Selon Simon Fabre Malassis, il existe différentes raisons pour lesquelles certaines organisations sont plus touchées que d’autres. Lorsqu’une société ou une administration particulière est piratée, son “importance stratégique” est visée. Il peut s’agir d’entreprises qui font “fonctionner un pays” (énergie, transport) et qui produisent “des denrées rares” (santé, banque). Il cite également le cas où les données sont récupérées et revendues à des cyberattaquants. “L’intérêt géopolitique ou diplomatique” et “l’enjeu financier” des données volées entrent aussi en jeu.
En 2026, les cyberattaques ont touché des administrations publiques comme l’URSSAF, la Fédération Française de Twirling Bâton ou encore l’Office Français de l’Immigration et de l’Intégration. Du côté des entreprises privées, on retrouve entre autres Easy Cash, Orpi et Relais Colis.
La Fédération Nationale des Chasseurs a également subi une fuite majeure : depuis le 21 janvier 2026, les données personnelles d’un million de chasseurs (noms, adresses emails, numéros de téléphone) sont en vente sur le dark web. Un cas similaire a eu lieu en novembre 2025 avec la Fédération Française de Tir, où les adresses postales ont été récupérées par les hackers. Ces informations permettent d’identifier les individus détenant des armes et de cibler leurs domiciles. Avec cette fuite de données, leurs domiciles sont en proie à des cambriolages, permettant aux armes de sortir des recensements officiels.
“Les mines d’or d’aujourd’hui et de demain”
Pour le Délégué à la protection des données, Simon Fabre Malassis, les données personnelles sont “les mines d’or d’aujourd’hui et de demain”. A la fois “financièrement car les reventes rapportent, et aussi stratégiquement” car “elles permettent aux attaquants d’obtenir des informations précieuses pour arriver à leurs fins”. Le Délégué à la protection des données donne l’exemple de la recrudescence des cyberattaques dans les hôpitaux. Ces derniers “collectent et utilisent des données de santé qui intéressent particulièrement les attaquants”.
En février 2024, les entreprises Viamedis et Almerys ont été impactées par un vol de données. Noms, états civils, numéros de Sécurité sociale, dates de naissance, noms des assureurs et garanties de contrat : ces deux entreprises s’occupent de la gestion du tiers payant pour des complémentaires santé. Le vol de ces données impacte directement les utilisateurs puisque ces données sont un élément clé dans les démarches administratives. Ces informations très précises augmentent le risque d’être victime de phishing sur mesure (ou hameçonnage en français). Il s’agit de mails ou SMS qui se font passer pour des entités connues comme une banque ou un service en ligne, afin de duper l’usager pour l’inciter à dévoiler ses données personnelles telles que ses coordonnées bancaires. Réalisé avec des données très précises comme le numéro de sécurité sociale, le phishing est si réaliste que de nombreux utilisateurs peuvent dévoiler sans le savoir leurs informations à des pirates informatiques. Avec un numéro de sécurité sociale, on peut également demander un passeport et une carte d’identité, ou faire payer nos amendes par quelqu’un d’autre. C’est ce qu’on appelle l’usurpation d’identité.
Les erreurs humaines à l’origine des cyberattaques
Pour éviter aux entreprises de subir des vols de données, la CNIL peut les sanctionner si elles ne protègent pas suffisamment les données de leurs utilisateurs.
Le 29 janvier 2026, la CNIL a prononcé une amende de 5 millions d’euros à l’encontre de France Travail. La Commission a pris en compte la méconnaissance des principes essentiels en matière de sécurité, le nombre de personnes concernées, le volume et la sensibilité des données traitées. Si ces amendes records sont un avertissement, elles poussent aussi les entreprises à améliorer leurs systèmes de protection.
Ce sont souvent les erreurs humaines qui sont à l’origine d’une cyberattaque.
Simon Fabre Malassis propose une vision “50/50 sur les responsabilités” dans le cas de vol de données. Du point de vue technique, “il y a une responsabilité pour les employeurs et les sociétés à garantir un niveau de sécurité adéquat en fonction du degré sensible des informations personnelles et stratégiques traitées”. Dans de nombreuses entreprises, les logiciels sont obsolètes et les systèmes de sécurité ne sont pas mis à jour.
Les particuliers ont aussi une responsabilité dans les fuites de données. “La protection des données et les cyber attaques auraient moins de conséquence si tout à chacun avait ces réflexes primaires en protection des données”. Un mot de passe faible et de mauvaises pratiques numériques rendent plus simple les vols de données. La négligence humaine ouvre donc souvent la porte aux pirates informatiques.
Pour Simon Fabre Malassis de “bonnes pratiques d’hygiène numérique” permettent de réduire les risques : “mettre en place des politiques de mot de passe, une charte informatique des mesures techniques de sécurité et des mesures organisationnelles également. De la sécurité physique aussi.” Mettre un filigrane derrière des documents d’identité, ce sont des manières de protéger ses informations.
Alors, en cas de doute, ces sites peuvent vous permettre de vérifier si vos données personnelles ont été piratées : monitor.mozilla.org et haveibeenpwned.com.
crédit photo : Pexels
Camille Couillaud
Étudiante en information-communication et LLCER espagnol, je souhaite faire du journalisme mon métier. Je suis infiniment curieuse ! Je m’intéresse aux cultures latinoaméricaines mais aussi aux questions d’actualités : web, environnement ou sport tout m’intéresse !