Je sais ce que tu penses. Si je t’appelle ami, c’est un peu comme sur Facebook. Mais avec une différence de taille. Car sur ce réseau social, ce mot a été vidé de sens. 1847 amis, et pas un seul qui t’appellerait si demain tu criais au secours. Ils ont pris le truc le plus chaud qu’on avait et ils en ont fait un compteur. Une donnée. Une ligne dans un graphe social qu’on revend agrégé. Et c’est là que je veux commencer.
Parce que Facebook aussi te vole. Tout le temps. Mais autrement. Facebook, lui, te fait signer. Tu cliques « J’accepte » sur trente pages de conditions que personne ne lit, et tu donnes. Ta localisation, tes amis, tes nuits blanches, tes recherches à 3h du matin. C’est du vol au ralenti, légal, consenti, emballé dans du bleu rassurant. Ils ne forcent aucune porte : tu la leur ouvres, et tu les remercies pour l’application gratuite. Et tu courbes même l’échine. Non ? Si !
On oublie le menteur et le voleur et on passe à quelque chose de tout aussi sérieux. Ce dont je vais te parler, c’est l’autre vol. Le brutal. Celui où personne ne t’a demandé ton avis, parce que tu n’avais même pas de compte chez le voleur. Ta fiche chez ton médecin. Ton IBAN dans un fichier de Bercy. Ton dossier sur le portail de l’ANTS. Des données que tu n’as jamais postées nulle part, et qui se retrouvent quand même en vente sur un forum.
Même résultat, au fond : tes données ne t’appartiennent plus. Plus vraiment. Et pas que depuis cette année. La seule différence, c’est qu’avec Facebook tu as tenu la porte, et qu’avec l’État elle a été défoncée dans ton dos. Laisse-moi te raconter ce qui s’est passé. Sans dramatiser. Sans broder. Juste les faits, froids, vérifiés, rangés en colonnes. Parce que la vérité, quand elle est précise, fait plus peur que n’importe quel film. Surtout, ne pars pas en hurlant. Tu va rater le meilleur. Celui qui fait le plus peur.
A retenir :
Analyse factuelle et sourcée des fuites de données ayant touché la France en 2026, recensant 25 incidents majeurs des secteurs public et privé, croisant les compteurs officiels (CNIL, ministère de l’Intérieur, Surfshark) et comparant le premier semestre 2026 au premier semestre 2025.
La France, un pays qui « fuit »
On commence par le plus dérangeant. Il n’existe pas un chiffre du nombre de vols de données. Il en existe plusieurs, et ils ne mesurent pas la même chose. C’est le premier piège. Quand quelqu’un te balance « X millions de comptes piratés », demande-toi toujours : qui compte, et comment ?
Voici les compteurs. Tous réels. Tous officiels ou documentés. Aucun inventé.
| Ce que l’on compte | Période | Valeur | Source |
| Notifications CNIL (bilan officiel) | 2025 | 6 167 | CNIL : rapport annuel |
| Notifications CNIL (chiffre brut) | 2025 | 17 802 (dont 11 635 = 2 incidents) | Rapport CNIL |
| Notifications CNIL | T1 2026 | 2 730 | CNIL |
| Violations touchant +1 M de personnes | 2025 | ≈ 40 | Rapport CNIL |
| Comptes compromis | 2025 | 40,3 millions | Surfshark / DPO Partage |
| Comptes compromis | T1 2026 | 23,5 millions | sources spécialisées |
| Incidents majeurs médiatisés | depuis janv. 2026 | ≈ 25 | recensements presse |
| Cyberattaques enregistrées (police/gendarmerie) | 2025 | 17 600 (+4 %) | ministère de l’Intérieur |
Tu vois la ligne « 17 802 » ? Et juste en dessus, « 6 167 » ? C’est le même rapport CNIL. Le même. L’écart, c’est deux sous-traitants compromis dans l’année, un éditeur santé, un éditeur du conseil patrimonial qui ont déclenché, à eux seuls, 11 635 notifications en cascade. Chaque cabinet client qui se découvre responsable de données qu’il ne maîtrisait plus envoie sa propre déclaration. La CNIL a dû retirer ces deux événements de son bilan pour que la tendance reste lisible.
Médite là-dessus une seconde. Le système est tellement saturé qu’on doit nettoyer les chiffres pour qu’ils veuillent encore dire quelque chose. C’est dire à quel point la “fuite” de données est importante. Et la densité. La France est devenue le deuxième pays au monde pour les comptes volés, avec une densité de violations douze fois supérieure à la moyenne mondiale. Pas deuxième parce qu’on est gros. Deuxième parce qu’on fuit1.
Six premiers mois de l’année 2026, incident par incident
Maintenant, le cœur. Tout ce qui a été révélé depuis le début de l’année. Enfin presque, car il faut rentrer un paramètre important : un société X ne déclare pas obligatoirement un vol de données, même si elle y est tenue. La raison en est simple : l’image de l’entreprise peut être écornée et donc perdre de futurs contrats, comme des clients. En tout cas, ce tableau assez clinique, ne doit pas te faire fuir, au contraire, il s’agit de t’informer.
| Date (révélation) | Cible / Entité | Secteur | Ampleur | Type d’attaque / données |
| Déc. 2025 (révélé) | Ministère de l’Intérieur (serveurs / police) | Public | 16,4 M fichiers revendiqués ; « une dizaine » extraits selon l’État | Intrusion via boîtes mail police (mots de passe en clair) |
| 22 déc. 2025 / 1 jan. 2026 | La Poste / Banque Postale | Public | Services paralysés (pas de vol) | DDoS — NoName057 (pro-russe) |
| 1 jan. 2026 | OFII (immigration) | Public | 2,1 M dossiers d’étrangers | Vol puis vente dark web |
| 8 jan. 2026 | CRIJ Bourgogne-Franche-Comté | Public | 90 000 à 283 000 usagers | Mise en vente dark web |
| 12 jan. 2026 | FFT (tennis) | Privé (fédération) | Non communiqué | Plainte déposée |
| 14 jan. 2026 | Free Mobile + Free | Privé | 24 M abonnés (incident oct. 2024) | Sanction CNIL 42 M€ |
| 19 jan. 2026 | URSSAF | Public | Jusqu’à 12 M salariés (à confirmer) | Accès frauduleux |
| 20 jan. 2026 | Fédération nationale des chasseurs | Privé (fédération) | ≈ 1 à 1,4 M chasseurs | Fuite guichet permis / dark web |
| 22 jan. 2026 | France Travail | Public | Millions de demandeurs d’emploi (incident 2024) | Sanction CNIL 5 M€ |
| 30 jan. 2026 | ManoMano | Privé | Non communiqué | Compromission sous-traitant support |
| 18 fév. 2026 | FICOBA / DGFiP (Bercy) | Public | 1,2 M comptes bancaires | Usurpation identifiants fonctionnaire |
| 26 fév. 2026 | Cegedim Santé (logiciel MLM) | Privé | 15 M patients (164 000 sensibles) | Compromission applicative / supply chain |
| Mars 2026 | Vivaticket (billetterie musées) | Privé | Données utilisateurs | Compromission service numérique |
| 24 mars 2026 | Compas (Éducation nationale) | Public | 243 000 enseignants | Exfiltration coordonnées |
| Avril 2026 | Carte Jeune Occitanie | Public | Non chiffré | Fuite de données |
| Avril 2026 | CROUS | Public | 774 000 étudiants (139 000 avec passeports/CNI) | Extraction de données |
| 11 avr. 2026 | Alinto (sous-traitant emailing) | Privé | 40 M métadonnées (L’Oréal, Renault, Carrefour, Hermès) | Fuite supply chain |
| 13 avr. 2026 | Basic-Fit (6 pays) | Privé | 1 M membres (coord. bancaires) | Piratage |
| 14 avr. 2026 | ÉduConnect (Éducation nationale) | Public | 3,5 M élèves mineurs | Faille IDOR |
| 15 avr. 2026 | ANTS / France Titres | Public | 11,7 M comptes (18-19 M revendiqués) | Faille IDOR ; ado 15 ans interpellé |
| Avril 2026 | FFR (rugby) | Privé (fédération) | 500 000+ licenciés | Phishing |
| Avril 2026 | AlumnForce (alumni) | Privé | 2,7 M profils (1,83 M emails) | Exfiltration plateforme |
| Déc. 2025 / mars 2026 | Fédérations sportives en série (UNSS, gym, athlé, voile, natation, golf) | Privé (fédérations) | Plusieurs millions de licenciés | Vagues d’intrusions / phishing |
| Début 2026 | Service-public.fr | Public | Non communiqué | Fuite usagers |
| 2026 | Ministère de la Justice / Armées (via prestataires) | Public | Non chiffré | Interpellation parlementaire, sans bilan officiel |
Regarde bien cette liste. Vraiment. Ce n’est pas une fiction de série. C’est ton pays, ce semestre. Tu peux retrouver toutes ces informations dans un tableau plus complet, en cliquant ici .
Les quatre vols que tu dois comprendre
Je ne vais pas tout disséquer. Mais il y en a quatre qui racontent tout. Et tes données sont à 95% dans l’un de ces quatre vols. Si ce n’est pas plusieurs. Ne pars pas mon ami. Reste. Et surtout ne crie pas.
ANTS, l’État qui perd les clés de ton identité
Le 15 avril 2026, l’Agence nationale des titres sécurisés, celle qui gère tes passeports, ta carte d’identité, ton permis, ta carte grise, détecte une intrusion. Le 21 avril, le ministère de l’Intérieur confirme : 11,7 millions de comptes concernés. Le pirate, lui, en revendique 18 à 19 millions. L’écart, ce sont les doublons et les profils incomplets, selon les autorités. La faille ? Une IDOR. Insecure Direct Object Reference. Tu changes un chiffre dans l’URL, tu vois le dossier de quelqu’un d’autre. C’est la vulnérabilité qu’on enseigne en première semaine de formation d’informatique. Pas un exploit de génie. Une porte qu’on a oublié de verrouiller.
Données parties : identifiant de connexion, civilité, nom, prénom, e-mail, date de naissance, identifiant unique du compte. Pas les mots de passe. La biométrie ? Que nenni. Pas les pièces justificatives. L’État insiste là-dessus, et il a raison de le faire. Mais avec ça, on fabrique du phishing si crédible que tu cliqueras. Tu le sais, et tu cliqueras quand même. C’est comme ça que ça marche. Celui qui a fait ça ? Un adolescent de 15 ans, interpellé le 25 avril. Quinze ans. Laisse infuser. Mais dans l’oreillette, on me dit ami que d’autres malfaisants pourraient “éventuellement” s’être servis de manière plus discrète.
Cegedim, quand ta maladie devient une ligne dans un fichier
Fin 2025, le logiciel médical MLM de Cegedim est compromis. Révélé au 20h de France 2 le 26 février 2026. Environ 15 millions de patients exposés. Cegedim jure que seul le dossier administratif a fuité et contenant ton identité, tes coordonnées, et un champ « commentaire en texte libre ».
C’est ce champ qui me tient éveillé. Parce que pour 164 000 personnes, ce texte libre contenait des annotations sensibles : pathologies, statut sérologique, addictions, violences subies. Des médecins qui notaient à la main ce qu’aucun système structuré n’aurait dû laisser sortir. Le parquet de Paris a ouvert une enquête. Et ce n’est pas la première fois pour Cegedim : 800 000 euros d’amende CNIL déjà en septembre 2024, pour un autre logiciel. A croire qu’ils n’ont rien compris. Ou alors, ils sont très mauvais. A toi de choisir ami.
FICOBA / Bercy, l’identifiant d’un seul homme
18 février 2026. Le fichier national des comptes bancaires, soit environ 300 millions de comptes recensés est “consulté” illégitimement. 1,2 million de comptes exposés. Moins de 1 % du fichier. Tu te dis : presque rien. Une paille. Tu n’es pas dedans ? A voir !
Sauf que regarde comment. Un attaquant a usurpé les identifiants d’un seul fonctionnaire qui avait accès au fichier. Du 28 janvier au 13 février. Seize jours avant qu’on s’en aperçoive. Pas de mur défoncé. Une clé volée dans la poche d’un employé. La Banque de France a fini par recommandé d’activer une liste blanche SEPA pour bloquer les prélèvements non autorisés. Après coup. Toujours après coup. Jamais avant. Comme si on ne voulait pas. Car trop bête. A bouffer du foin !
Ministère de l’Intérieur, le silence le plus lourd
Révélé fin 2025, mais ses ondes se propagent sur 2026. Un groupe affirme avoir accédé aux fichiers de police de 16,4 millions de Français. L’État confirme l’accès mais évoque « une dizaine de fiches » extraites. Un suspect de 22 ans interpellé. Le vecteur, et c’est là que ça devient absurde : des boîtes mail de la police contenant des mots de passe en clair, partagés entre collègues. Les gardiens de tes antécédents judiciaires se passaient les codes comme des post-it. Gardiens de la Paix sûrement, mais pas gardiens des clés ! Vous avez demandé la Police, ne quittez pas !
Un contenu de qualité, sans publicité.
Vous aimez notre travail ? Soutenez notre indépendance en devenant membre sur Patreon.
Soutenir MyChromebook.frLe privé n’est pas mieux. Il est juste plus discret.
On parle beaucoup de l’État parce que ça gêne en haut lieu. Mais le privé saigne pareil. Free Mobile : 42 millions d’euros d’amende CNIL le 14 janvier 2026, pour une fuite de 24 millions d’abonnés datant d’octobre 2024. France Travail : 5 millions, le 22 janvier. ManoMano, Basic-Fit (1 million de membres, sur six pays), AlumnForce (2,7 millions de profils d’anciens élèves), les fédérations sportives les unes après les autres.
Et le plus élégant dans sa cruauté : Alinto. Un sous-traitant d’emailing. 40 millions de métadonnées exposées. En compromettant un seul maillon, l’attaquant atteint L’Oréal, Renault, Carrefour, Hermès d’un coup. C’est ça, le supply chain. Tu ne casses pas le coffre. Tu casses le serrurier. Rentre ta rage ami. Casse pas l’écran, il va encore te servir.
C’était comment, avant ? La comparaison 2025 / 2026
Tu veux savoir si c’est vraiment pire, ou si c’est juste qu’on en parle plus. Question honnête. Réponse honnête : c’est pire, mais pas comme tu crois.
Voici le premier semestre 2025. Janvier à juin. Les noms que tu reconnais.
| Date | Entité | Secteur | Ampleur | Type |
| 7 jan. 2025 | Kiabi | Privé | 20 000 clients (IBAN) | Credential stuffing |
| 29 jan. 2025 | Chronopost (La Poste) | Privé / public | 210 000 clients | Fuite de données |
| 1 fév. 2025 | Conforama | Privé | 9,4 M clients | Fuite massive |
| 27 fév. 2025 | Orange (filiale roumaine) | Privé | 12 000 fichiers | Vol interne |
| 27 fév. 2025 | Harvest (→ MAIF) | Privé | 55 000 clients | Ransomware |
| 31 mars 2025 | Autosur | Privé | Jusqu’à 10 M plaques + coordonnées | Fuite de données |
| 4 avr. 2025 | Intersport | Privé | 20 000 clients | Fuite de données |
| 16 avr. 2025 | Alain Afflelou | Privé | Non chiffré | Vol données clients |
| 22 avr. 2025 | Indigo | Privé | Non chiffré | Fuite (plaques, clients) |
| 24 avr. 2025 | Easy Cash | Privé | Non chiffré | Fuite de données |
| 4 juin 2025 | Center Parcs | Privé | ≈ 20 000 clients | Fuite de données |
| 16 juin 2025 | Sorbonne Université | Public | 32 000 personnes | Vol de données |
Tu remarques ? En 2025, presque tout est privé. Du retail, des services, des fuites moyennes. Les deux gros : Conforama 9,4 M, Autosur jusqu’à 10 M, étaient des exceptions. Sur les comptes compromis, le Personal Data Leak Checker de Cybernews recensait 1,8 million pour la France sur ce semestre.
Et maintenant, la bascule, en quatre lignes qui se comparent vraiment :
| Indicateur (1er semestre) | S1 2025 | S1 2026 | Lecture |
| Notifications CNIL (T1) | 2 500 | 2 730 | +9 % : le seul indicateur strictement comparable |
| Fuites touchant +1 M de personnes | ≈ 2 | ≈ 8 | environ ×4 |
| Plus grosse fuite unitaire | ≈ 10 M (Autosur) | 15 M (Cegedim) | +50 % |
| Comptes compromis | 1,8 M (Cybernews) | 23,5 M (autres sources) | ×13 indicatif, sources différentes |
Lis bien la dernière colonne. Le « ×13 » est tape-à-l’œil, mais il additionne deux thermomètres différents : Cybernews compte les e-mails qui réapparaissent dans des bases ; les 23,5 millions viennent de recensements de type Surfshark et de la presse. Je ne vais pas te mentir avec un chiffre propre quand la mesure ne l’est pas.
Le seul truc honnêtement comparable d’une année sur l’autre, c’est la notification CNIL : +9 %. Beaucoup plus calme que la panique le suggère. Ce qui a vraiment changé, ce n’est pas le nombre. C’est la cible et la taille. En 2025, on pillait des boutiques. En 2026, on pille l’État. Allègrement, sans ce géner. Mais sans élégance.
Ce que ça veut dire, pour toi mon ami
Je vais être direct, parce que tu mérites mieux que des conseils en bullet points lus mille fois. Tes données ne sont pas « peut-être » dans la nature. Statistiquement, elles y sont. Probablement plusieurs fois. Le modèle a changé : les attaquants ne vendent plus une carte bancaire isolée qui se périme. Ils agrègent. Ton nom de l’ANTS, ta date de naissance d’ÉduConnect quand tu étais gosse, ton IBAN de FICOBA, ton e-mail de Basic-Fit. Mis bout à bout, ça fait un toi numérique complet. Un kit d’identité. Avec ça, on ouvre un crédit, on prend un abonnement, on demande un titre à ta place. Aussi bien qu’avec Facebook mais en pire.
Alors voilà ce que je ferais, moi, si j’étais toi et d’une certaine manière, je le suis :
- Active la double authentification partout où c’est sérieux. Pas par SMS si tu peux l’éviter. Plutôt une appli comme Google Authenticator, une clé physique.
- Un mot de passe unique par service. Un gestionnaire le fait à ta place.
- Si tu reçois un message de l’ANTS, de Bercy, d’un service public, tu vérifies par le site officiel, jamais par le lien. Surtout en ce moment. Surtout en ce moment.
- Active une liste blanche SEPA sur ton compte. Bloque les prélèvements que tu n’as pas autorisés.
- Garde les preuves de chaque notification de fuite que tu reçois. Elles peuvent servir.
Mais soyons lucides. Aucune de ces gestes ne répare le système. La CNIL sanctionne après. Le ministère de l’Intérieur a saisi l’Inspection générale après. La Banque de France a recommandé la liste blanche après. On colmate. On ne reconstruit pas. La vraie faille, ce n’est pas l’IDOR de l’ANTS, ni les mots de passe en clair de la police, ni l’identifiant volé du fonctionnaire de Bercy. La vraie faille, c’est qu’on a numérisé un pays entier en oubliant de le protéger, et qu’on a appelé ça le progrès. Et ce n’est pas les 200 millions d’euros qui vont empêcher que ces données continuent à se balader dans la nature. Bien au contraire.
Je n’ai pas dramatisé. Reprends chaque chiffre. Vérifie-le. Ils sont tous là, sourcés, datés. C’est ça le plus dérangeant, l’ami : je n’ai eu besoin d’exagérer aucune ligne. Fais attention à toi. Vraiment. Et change tes mots de passe avant de fermer cette page. C’est un conseil d’ami.
Note de méthode et de prudence : cet article reprend des incidents documentés par des sources officielles (CNIL, ministère de l’Intérieur, ministère de l’Économie, communiqués d’entreprises) et la presse spécialisée. Les chiffres marqués « à confirmer » (URSSAF, ≈ 12 M) ou divergents (CRIJ) restent incertains. Les volumes revendiqués par les attaquants (ex. 18-19 M pour l’ANTS) ne sont pas vérifiés. Le rapprochement des « comptes compromis » 2025/2026 mêle des méthodologies distinctes et n’a qu’une valeur indicative. La mention Justice / Armées repose sur une interpellation parlementaire, sans bilan officiel chiffré.
- Fuir ». Du latin populaire
*fugīre, altération du latin classiquefugere(« s’enfuir, échapper, éviter »), lui-même issu de la racine indo-européenne reconstruite*bʰeug-(« fuir, se dérober »). L’astérisque signale une forme reconstruite, jamais attestée par écrit, déduite des langues filles ; la reconstruction de ces racines reste un domaine de débat entre spécialistes. La même racine a donné le grecpheúgein(fuir) et le suffixe savant « -fuge » (centrifuge, transfuge, fébrifuge), ainsi que la famille du fugitif, du fugace, du réfugié et de la fugue. Le sens initial suppose un sujet vivant qui décide de fuir un danger ; le mot a ensuite glissé vers l’inanimé, un récipient « qui fuit » par une faille, malgré lui. C’est ce second sens, passif, qui s’applique aux données : non pas un sujet qui s’échappe, mais un contenant percé qui se vide. La langue a retenu l’image du liquide, pas celle de l’effraction, comme si le vrai problème n’était pas le voleur au-dehors, mais le récipient mal fermé au-dedans. ↩︎
FAQ (Foire Aux Questions)
Combien de fuites de données la France a-t-elle subies en 2026 ?
Il n’existe pas un chiffre unique. La CNIL a reçu 2 730 notifications de violations au premier trimestre 2026, et environ 25 incidents majeurs ont été médiatisés, pour 23,5 millions de comptes estimés compromis sur le trimestre.
Quelle a été la plus grande fuite de données en France en 2026 ?
L’attaque contre Cegedim Santé, révélée le 26 février 2026, a exposé les données d’environ 15 millions de patients, dont 164 000 incluant des informations sensibles. En volume de comptes administratifs, l’ANTS / France Titres suit avec 11,7 millions de comptes confirmés par le ministère de l’Intérieur.
Le secteur public est-il plus touché que le privé ?
En 2026, le secteur public concentre l’essentiel des volumes (ANTS, ÉduConnect, FICOBA, OFII), alors qu’en 2025 les fuites étaient majoritairement privées et de taille moyenne. Le seul indicateur strictement comparable, les notifications CNIL, progresse d’environ 9 % d’une année sur l’autre.
Comment savoir si mes données ont fuité ?
Vous pouvez vérifier vos adresses e-mail sur des services comme Have I Been Pwned, activer la double authentification, utiliser un gestionnaire de mots de passe et, en cas de fuite bancaire, demander une liste blanche SEPA à votre banque.
