Fuite de données en France : chiffres, statistiques et comment se protéger (2026)

Une fuite de données, c’est la divulgation d’informations personnelles ou sensibles en dehors du contrôle de leur propriétaire. En France, le phénomène a explosé durant ces dernières années : la CNIL a enregistré 6 167 violations en 2025, un record, et des fuites géantes ont touché Free, France Travail, Bouygues ou l’Urssaf, exposant les données de dizaines de millions de Français. Comprendre ce qui se passe, ce que vous risquez concrètement, et comment vous protéger : c’est tout l’objet de ce guide.

En tant que formateur en cybersécurité, je reçois régulièrement le même message paniqué : « J’ai reçu un mail disant que mes données ont fuité, qu’est-ce que je fais ? ». La vérité, c’est qu’aujourd’hui, en France, la question n’est plus de savoir si vos données ont fuité, … mais combien de fois. Plutôt que de vous faire peur, je préfère vous armer : voici ce qu’est réellement une fuite de données, les chiffres qui donnent la mesure du problème, les grandes fuites françaises récentes, ce que ça change concrètement pour vous, et surtout les gestes qui vous protègent vraiment.

Qu’est-ce qu’une fuite de données, exactement ?

Une fuite de données (ou violation de données) désigne le fait que des informations sensibles échappent au contrôle de leur détenteur : elles sont consultées, copiées, volées ou exposées par une personne non autorisée. Contrairement à une idée reçue, il n’est même pas nécessaire que quelqu’un « emporte » les données : le simple fait qu’elles aient été accessibles suffit à les considérer comme compromises.

Les informations concernées sont variées, et leur dangerosité augmente avec leur précision : adresses e-mail, mots de passe, noms et dates de naissance, adresses postales, numéros de téléphone, données bancaires (IBAN), numéros de sécurité sociale. Plus les données sont “recoupables”, plus elles valent cher pour un cybercriminel. Je parle également de la cascade d’informations dans l’article dédié sur l’anonymat en ligne.

Le regard du formateur : attention à ne pas confondre « fuite de données » et « piratage de votre ordinateur ». Dans l’immense majorité des cas, ce ne sont pas vos appareils qui sont attaqués : c’est l’entreprise ou l’administration à qui vous aviez confié vos informations qui se fait pirater. Vous êtes donc victime sans avoir rien fait de mal. C’est frustrant, mais c’est important à comprendre, car cela change la façon de se protéger. C’est notamment pour cela que “faire attention à ce que je fais en ligne” n’a plus de sens lorsque cela n’est plus de notre ressort…

Les chiffres des fuites de données en France (baromètre)

Assez de généralités : regardons les chiffres, car ils racontent une histoire précise. La source de référence en France, c’est la CNIL, à qui les organisations ont l’obligation légale de notifier toute violation dans les 72 heures. Voici l’évolution, et elle est édifiante.

AnnéeViolations notifiées à la CNILÉvolution
20234 669
20245 629+20 %
20256 167 (record)+9,5 %
2026 (1er trimestre)2 730en hausse

En trois ans, le nombre de violations notifiées a augmenté d’environ 50 %.

Et ces chiffres sous-estiment la réalité : ils comptent les notifications « classiques », mais certaines attaques visant des prestataires techniques provoquent des cascades. En comptant ces effets, la CNIL estime avoir reçu près de 17 802 notifications en 2025. Quelques chiffres-clés supplémentaires qui donnent la mesure du phénomène :

  • Une quarantaine de fuites ont concerné plus d’un million de personnes chacune en 2025 (contre une trentaine en 2024).
  • 80 % des violations de grande ampleur de 2024 ont été rendues possibles par l’usurpation d’un compte protégé uniquement par un mot de passe, sans double authentification.
  • La France est devenue en 2025 le premier pays européen (et deuxième mondial) en nombre de comptes compromis.
  • Le secteur de l’administration publique représente à lui seul 19 % des violations signalées.
  • En 2025, la CNIL a infligé un montant record de près de 487 millions d’euros d’amendes.
Les fuites de données sont si nombreuses que des sites les agrègent sous forme de liste chronologique et de statistiques (source : bonjourlafuite.eu.org)

Le regard du formateur : le chiffre qui marque, c’est le « 80 % rendus possibles par un simple mot de passe ». Il dit tout. La grande majorité des catastrophes récentes auraient été évitées ou limitées par une simple double authentification. Ce n’est pas une question de moyens colossaux ou de technologie de pointe : c’est une question d’hygiène de base, négligée à grande échelle. Attention, cela ne signifie pas que la responsabilité est uniquement portée sur les utilisateurs, car des milliers, voire millions de personnes avaient bien sécurisé les choses de leur côté, mais se retrouvent victimes collatérales de certains sites fiables piratés (y compris des administrations).

Les grandes fuites de données françaises récentes

Les chiffres abstraits parlent moins que les cas concrets. Voici les fuites françaises marquantes des dernières années, celles qui vous concernent peut-être directement.

OrganismeDatePersonnes concernéesDonnées exposées
France TravailMars 2024~36,8 millionsÉtat civil, n° de sécurité sociale, historique sur 20 ans
FreeOctobre 2024~19 millionsÉtat civil, dont ~5 millions d’IBAN
Bouygues TelecomAoût 2025~6,4 millionsÉtat civil, coordonnées, IBAN
UrssafJanvier 2026~12 millionsNom, date de naissance, SIRET employeur, date d’embauche
Ministère de l’IntérieurFin 2025~16 millionsDonnées d’identité

La fuite de Free a d’ailleurs valu à l’opérateur une sanction cumulée de 42 millions d’euros de la CNIL en janvier 2026 (27 millions pour Free Mobile, 15 pour Free), l’autorité ayant notamment relevé une procédure d’authentification VPN insuffisante. Le secteur des télécoms a été particulièrement touché, trois des quatre grands opérateurs (Free, Bouygues, SFR) ayant confirmé des violations sur la période.

Le vrai danger, c’est le recoupement (cascade d’informations). Prise isolément, une fuite peut sembler limitée. Mais les cybercriminels croisent les bases entre elles. En agrégeant Free, Bouygues, l’Urssaf et France Travail, on peut reconstituer pour une même personne : son état civil complet, son IBAN, son numéro de sécurité sociale, son employeur. Ce n’est plus une liste de données, c’est un « kit d’usurpation d’identité » fonctionnel, revendu sur le dark web. D’ailleurs, quand la base Bouygues a été analysée, 57 % des e-mails compromis figuraient déjà dans des fuites antérieures. Et n’oublions jamais qu’une seule de ces données peut à elle seule mener vers d’autres, sans pour autant attendre une fuite supplémentaire : un e-mail menant à un réseau social, un réseau social menant à une photo, elle même menant à une localisation, etc.

Pourquoi les fuites arrivent : les causes principales

Contrairement à l’image du génie qui « perce » un système, la plupart des fuites exploitent en fait… des faiblesses banales.

Les causes les plus fréquentes sont :

  • Le vol d’identifiants : un mot de passe volé ou deviné, sans double authentification pour bloquer l’intrus. C’est la cause n°1 des grandes fuites. Vous connaissez le topo : ne pas réutiliser son mot de passe, “azerty” n’est pas sécurisé ni même “Gbt3fC79ZmMEFUFJ“.
  • Les attaques via un prestataire (tiers) : de plus en plus, les pirates ne visent pas l’entreprise directement mais son fournisseur technique (CRM, éditeur de logiciel), plus vulnérable, pour toucher tous ses clients d’un coup.
  • Les failles non corrigées : des logiciels, VPN ou pare-feux avec des vulnérabilités connues mais non mises à jour. Et puis l’IA non censurée ou volontairement malveillante qui permet de les trouver facilement sans avoir de grandes compétences en hacking.
  • Les erreurs humaines et mauvaises configurations : une base de données laissée accessible sur internet, des droits d’accès trop larges, un fichier mal rangé, une méconnaissance du fonctionnement d’Internet. J’insiste sur ce dernier point : ce n’est pas parce que vous avez demandé à Google de supprimer une page web au nom du RGPD que toutes les traces ont disparu pour toujours. Des robots archivent le web public et d’autres moteurs de recherche peuvent les trouver…
  • Le phishing (hameçonnage) : un employé piégé qui livre ses identifiants sans le savoir. Et bien d’autres de ce style (la fameuse faille humaine/ingénierie sociale))

Je traite également les erreurs humaines causant des fuites de données dans ma vidéo sur Youtube :

Vidéo : C'est pas juste une fuite de données, c'est PIRE.

Les conséquences concrètes pour vous (et pour les entreprises)

Pour vous, particulier

Une fuite qui vous concerne n’est pas anodine, même si vous ne voyez rien dans l’immédiat. Les risques réels : l’usurpation d’identité (ouverture de compte ou crédit à votre nom), les prélèvements frauduleux si votre IBAN a fuité, et surtout un hameçonnage ultra-ciblé. Quand un escroc connaît votre nom, votre opérateur, votre adresse et vos dernières factures, il peut monter une arnaque au « faux conseiller » d’un réalisme redoutable. C’est là que se situe le vrai danger au quotidien. Et c’est là qu’on doit appliquer les règles fondamentales de base : se renseigner sur les techniques utilisées contre nous pour bien s’en défendre.

Pour une entreprise

Côté organisation, une fuite coûte cher, et pas seulement en amendes CNIL (qui peuvent atteindre des dizaines de millions d’euros). Il y a la perte de confiance des clients, l’atteinte à la réputation, les coûts de remédiation technique, et parfois l’interruption d’activité. Pour une PME, une fuite mal gérée peut être fatale. La responsabilité vaut aussi quand la fuite vient d’un prestataire : l’entreprise reste comptable des données qu’elle a collectées. J’avais organisé une réunion auprès de chefs de TPE/PME il y a quelques années, et à l’issue de celle-ci, l’un d’eux m’a dit que la cybersécurité c’est “chacun son job”. Grossière erreur ! Il est bien responsable de la sécurité des données de son entreprise, mais aussi de ses clients et salariés…

Comment savoir si vos données ont fuité

Bonne nouvelle : vous pouvez vérifier gratuitement. Le service de référence est Have I Been Pwned, qui recense les fuites connues : vous entrez votre adresse e-mail, et il vous dit dans quelles fuites elle apparaît.

C’est un outil sérieux et respectueux de la vie privée. Certains navigateurs et gestionnaires de mots de passe intègrent aussi une surveillance automatique qui vous alerte si vos identifiants sont repérés dans une fuite.

Un conseil : ne vous contentez pas de vérifier une fois. Ajoutez vos adresses principales à la surveillance, pour être prévenu automatiquement à la prochaine fuite. Car il y en aura d’autres.

Vous pouvez aussi tester votre mdp grâce à la k-anonymity : en somme vous donnez une partie seulement du mot de passe, et Have I Been Pwned vous indique ce qu’il a de son côté, de façon à ce que vous puissiez ensuite savoir si votre mot de passe y est, sans le donner vous-même et sans permettre au système de le récupérer si jamais il le voulait (simple précaution).

Comment se protéger : les gestes qui comptent vraiment

On ne peut pas empêcher une entreprise de se faire pirater. En revanche, on peut réduire énormément l’impact d’une fuite sur soi. Voici les gestes prioritaires, du plus efficace au complémentaire.

  1. Activez la double authentification (2FA) partout. C’est LE geste numéro un pour éviter le piratage de compte issu d’une fuite. Car même si votre mot de passe fuite, un intrus ne peut pas entrer sans le second code. Rappelez-vous : 80 % des grandes fuites reposaient sur l’absence de cette protection.
  2. Utilisez un mot de passe unique par service. La pire erreur est de réutiliser le même partout : une seule fuite donne alors accès à tous vos comptes (c’est l’attaque par « credential stuffing »). Un gestionnaire de mots de passe fait ce travail à votre place.
  3. Méfiez-vous des sollicitations après une fuite. Si un « conseiller » vous appelle en connaissant vos infos, raccrochez et rappelez le numéro officiel. Une donnée connue de votre interlocuteur ne prouve rien : elle a peut-être fuité.
  4. Surveillez vos comptes bancaires si votre IBAN a pu fuiter, et n’hésitez pas à contester tout prélèvement inconnu auprès de votre banque (vous en avez le droit).
  5. Vérifiez régulièrement vos adresses sur Have I Been Pwned et changez les mots de passe des comptes concernés. Vous pouvez aussi utiliser des services d’alertes comme Google Alerts pour vous informer des éventuelles publications vous concernant sur le web.

Le regard du formateur : si vous ne devez retenir qu’une seule chose de cet article, que ce soit celle-ci : activez la double authentification sur votre boîte mail principale, dès aujourd’hui. Votre e-mail est la clé de tout le reste (c’est par lui qu’on réinitialise vos autres mots de passe). Le protéger avec la 2FA, c’est verrouiller la porte d’entrée de toute votre vie numérique. Cinq minutes pour un bénéfice énorme.

Côté entreprise : prévenir et réagir

Si vous dirigez ou gérez une organisation, la prévention repose sur quelques piliers : imposer la double authentification (surtout pour les accès à distance et VPN), appliquer le principe du moindre privilège (chacun n’accède qu’à ce dont il a besoin), maintenir les systèmes à jour, encadrer les prestataires tiers, journaliser les accès pour détecter vite une anomalie, et former les équipes. En cas de fuite avérée, la loi impose de notifier la CNIL sous 72 heures et d’informer les personnes concernées.

Ce dernier point, la formation des équipes, est souvent le maillon négligé alors qu’il est décisif. Une bonne partie des fuites commence par une erreur humaine ou un phishing réussi. C’est exactement le type de sujet que une charte informatique et une sensibilisation régulière permettent d’adresser à moindre coût.

Comprendre les menaces pour mieux s’en protéger
Que vous vouliez protéger votre vie numérique ou sécuriser votre entreprise, tout commence par comprendre comment les attaques fonctionnent. La formation Cybersécurité de Cyberini vous apprend à vous défendre concrètement, du niveau débutant à l’autonomie, et elle est finançable via le CPF. Découvrir la formation ou tester vos réflexes avec nos défis gratuits.

Questions fréquentes

Comment savoir si mes données personnelles ont fuité ?

Vous pouvez vérifier gratuitement sur le site Have I Been Pwned en entrant votre adresse e-mail : il vous indique dans quelles fuites connues elle apparaît. De nombreux gestionnaires de mots de passe et navigateurs proposent aussi une surveillance automatique qui vous alerte lorsqu’un de vos identifiants est repéré dans une nouvelle fuite.

Que faire si mes données ont fuité ?

Changez immédiatement le mot de passe du service concerné (et de tout autre compte où vous utilisiez le même), activez la double authentification, surveillez vos comptes bancaires si un IBAN était concerné, et méfiez-vous des tentatives d’hameçonnage qui exploiteront ces informations. Si des données bancaires ont fuité, contactez votre banque.

Combien de fuites de données y a-t-il en France ?

La CNIL a enregistré 6 167 violations de données en 2025, un record en hausse de 9,5 % par rapport à 2024, et près de 50 % de plus qu’en 2023. Une quarantaine de ces fuites ont concerné plus d’un million de personnes chacune. Le phénomène continue de s’accélérer en 2026.

Une fuite de données est-elle dangereuse même sans mot de passe volé ?

Oui. Même sans mot de passe, des données comme votre nom, adresse, téléphone, IBAN ou nom de votre opérateur permettent aux escrocs de monter des arnaques très ciblées (faux conseiller bancaire, hameçonnage personnalisé) ou d’usurper votre identité. Le danger vient souvent du recoupement de plusieurs fuites entre elles.

Que risque une entreprise en cas de fuite de données ?

Une entreprise risque des sanctions de la CNIL (jusqu’à plusieurs dizaines de millions d’euros pour les grands groupes), une perte de confiance des clients, une atteinte à sa réputation, et des coûts de remédiation. Elle a l’obligation légale de notifier la CNIL sous 72 heures et d’informer les personnes concernées. Sa responsabilité est engagée même si la fuite provient d’un prestataire.

Sur le même thème