La France est devenue, en 2026, l’épicentre européen des fuites de données. Depuis janvier, les compilations spécialisées recensent plus de 300 services piratés et environ 250 millions d’enregistrements personnels exposés sur le territoire. La Commission nationale de l’informatique et des libertés (CNIL) a, de son côté, reçu 6 167 notifications de violations en 2025, soit 10 % de plus que l’année précédente. Santé, services publics, banques, distribution : aucun secteur n’est épargné. Cette analyse fait le point sur l’ampleur de la fuite de données qui frappe le pays, ses causes profondes et ses conséquences pour les 68 millions de Français concernés.
Fuite de données en France 2026 : une vague sans précédent
Le mot revient dans chaque rédaction française depuis le printemps 2026 : « tsunami ». Le 18 mai 2026, Le Monde titrait sur des Français « vulnérables » et des autorités « impuissantes » face à la déferlante. Le constat est chiffré. Selon la CNIL, 6 167 fuites de données lui ont été signalées en 2025, contre environ 5 600 en 2024. Près d’une violation sur deux résulte d’un piratage informatique, le reste provenant d’erreurs humaines, de pertes de matériel ou de défauts de configuration.
La nouveauté de 2026 ne tient pas seulement au volume, mais à la taille des incidents. La CNIL indique qu’environ 80 fuites ont concerné au moins 1 million de Français sur les deux dernières années civiles. Autrement dit, la mégafuite n’est plus l’exception : elle est devenue la norme. Quand une seule attaque expose 11,7 millions de comptes ou 15 millions de dossiers patients, la notion même de donnée « privée » vacille pour une part majoritaire de la population.
Cette concentration alimente un marché noir saturé. Les données françaises (numéros de Sécurité sociale, IBAN, adresses, numéros de téléphone) circulent en lots sur les forums cybercriminels, parfois pour quelques centaines d’euros. Une fois agrégées, elles nourrissent des campagnes de phishing et d’usurpation d’identité d’une précision redoutable, car l’attaquant connaît déjà votre banque, votre opérateur et votre médecin.
Cegedim Santé : 15 millions de patients exposés
L’incident le plus emblématique de l’année concerne la santé. Cegedim Santé, éditeur du logiciel de gestion médicale MonLogicielMedical (MLM), a détecté fin 2025 un « comportement applicatif anormal » sur des comptes de médecins. L’entreprise a confirmé l’attaque publiquement le 26 février 2026, puis déposé plainte auprès du procureur et notifié la CNIL. Le logiciel MLM est utilisé par 3 800 médecins en France, dont 1 500 ont été touchés par l’intrusion.
L’ampleur dépasse pourtant le cercle des praticiens. La ministre déléguée à la Santé, Stéphanie Rist, a confirmé que l’attaque pouvait concerner plus de 15 millions de personnes. Les rapports indépendants évoquent 15,8 millions d’enregistrements. Selon Cegedim, les données proviennent « exclusivement du dossier administratif du patient » : nom, prénom, sexe, date de naissance, numéro de téléphone, adresse postale, adresse e-mail et commentaires administratifs en texte libre. L’entreprise affirme que les dossiers médicaux structurés sont restés intacts.
La zone grise se situe dans le texte libre. Pour environ 169 000 patients, ces commentaires pouvaient contenir des notes personnelles du médecin sur des informations sensibles. En droit, une donnée de santé bénéficie d’une protection renforcée au titre de l’article 9 du RGPD. Une exposition, même partielle, ouvre la voie à des sanctions lourdes et à des actions collectives. Cegedim avait déjà écopé d’une amende CNIL de 800 000 euros en septembre 2024 pour un traitement non autorisé de données de santé, un antécédent qui pèsera dans l’instruction en cours.
CNIL : 6 167 notifications en 2025, un record historique
La CNIL joue le rôle de thermomètre national. Chaque organisme victime d’une violation a 72 heures pour la lui notifier. La courbe est sans ambiguïté : après une année 2024 déjà record, 2025 établit un nouveau sommet avec 6 167 violations signalées. La régulatrice souligne un autre indicateur préoccupant : la part des incidents touchant plus d’un million de personnes ne cesse de croître, signe que les attaquants visent désormais les bases de données massives plutôt que les cibles isolées.
Le tableau ci-dessous retrace les principales fuites françaises rendues publiques entre fin 2025 et le printemps 2026. Les chiffres proviennent des annonces officielles des organismes concernés, des ministères et des récapitulatifs spécialisés. Quand une fourchette existe, la valeur la plus prudente est retenue.
| Organisme | Date publique | Personnes concernées | Type de données |
|---|---|---|---|
| Cegedim Santé (MLM) | Février 2026 | ~15 millions | Données administratives de santé |
| ANTS / France Titres | Avril 2026 | 11,7 millions | Comptes, état civil |
| France Travail (Missions Locales) | Décembre 2025 | 1,6 million | Données socio-professionnelles |
| FICOBA / DGFiP | Février 2026 | 1,2 million | Comptes bancaires |
| Ministère des Sports | Décembre 2025 | Plusieurs millions de licenciés | Identité, coordonnées |
Ce panorama ne couvre que les incidents publics. De nombreuses PME et collectivités, victimes de rançongiciels, ne communiquent jamais. Le chiffre réel des Français exposés dépasse donc largement la somme des lignes ci-dessus, d’autant qu’une même personne figure souvent dans plusieurs fuites simultanées.
L’État français en première ligne des cyberattaques
La spécificité française de 2026 tient à la place du secteur public dans le palmarès des victimes. L’Agence nationale des titres sécurisés (ANTS) a subi une attaque révélée le 20 avril 2026 : le ministère de l’Intérieur a confirmé le 21 avril que 11,7 millions de comptes étaient concernés. Un acteur surnommé « breach3d » a mis en vente, dès le 16 avril, une base présentée comme issue des systèmes de l’ANTS, forte de 18 à 19 millions d’enregistrements. Nous avons détaillé cet épisode dans notre analyse de la cyberattaque contre l’ANTS.
Le fichier FICOBA de la Direction générale des finances publiques, qui recense l’ensemble des comptes bancaires ouverts en France, a pour sa part exposé 1,2 million de comptes en février 2026. Notre enquête sur le piratage de FICOBA revient sur la sensibilité particulière de ce fichier fiscal. À ces incidents s’ajoute la nouvelle compromission de France Travail via les Missions Locales, fin 2025, qui a touché 1,6 million de personnes, dans la continuité de la mégafuite historique de 43 millions de comptes survenue précédemment.
Cette exposition de l’État interroge la souveraineté numérique. Quand l’administration centralise les données de toute la population dans des fichiers géants, chaque brèche prend une dimension nationale. Les attaques contre les infrastructures critiques et les services publics relèvent désormais d’une logique géopolitique autant que criminelle.
Pourquoi la France est devenue la championne européenne des fuites
Comment expliquer cette surexposition française ? Plusieurs facteurs se combinent. D’abord, la France est l’un des pays les plus numérisés d’Europe pour ses services publics : impôts en ligne, carte Vitale, France Connect, dossier médical partagé. Cette avance crée mécaniquement davantage de bases de données convoitées. Ensuite, la dépendance à un petit nombre de prestataires (éditeurs de logiciels médicaux, gestionnaires de licences sportives, sous-traitants RH) concentre le risque : compromettre un seul fournisseur, c’est atteindre des millions d’usagers d’un coup.
L’attaque dite « supply chain » est devenue le mode opératoire dominant. Plutôt que de viser frontalement une administration bien défendue, les attaquants ciblent le maillon faible de la chaîne de sous-traitance. Cegedim, les Missions Locales ou les plateformes de licences illustrent ce schéma : ce ne sont pas les institutions elles-mêmes qui sont tombées, mais leurs prestataires techniques.
Enfin, la transparence française accroît la visibilité statistique. Le RGPD impose la notification, la CNIL publie, la presse relaie. Un pays moins regardant afficherait des chiffres plus flatteurs, sans être plus sûr. La « championne des fuites » est aussi, paradoxalement, la championne de la déclaration. Cette nuance ne console pas les victimes, mais elle relativise les comparaisons internationales brutes.
Le coût économique et humain de la fuite de données
Une fuite ne se solde pas par une simple ligne dans un rapport. Pour l’organisme victime, la facture additionne l’investigation forensique, la remédiation technique, la notification individuelle, le renfort du support client et, souvent, une provision pour litiges. À cela s’ajoute le risque réputationnel, difficile à chiffrer mais bien réel quand des patients ou des assurés perdent confiance.
Pour le citoyen, le préjudice est diffus mais durable. Une adresse e-mail et un numéro de téléphone exposés alimentent des années de spam et de tentatives d’hameçonnage. Un IBAN ou un numéro fiscal ouvrent la porte à la fraude au virement et à l’usurpation d’identité. Contrairement à un mot de passe, ces identifiants ne se changent pas : on ne « réinitialise » pas sa date de naissance ni son numéro de Sécurité sociale. La donnée volée garde donc sa valeur pendant des années.
Le marché de la cybersécurité européen reflète cette pression. Selon Orange, il pourrait atteindre 95 milliards de dollars, porté par la demande des entreprises et des administrations cherchant à se mettre en conformité et à se protéger. La fuite de données est devenue un moteur de croissance pour tout un écosystème d’assureurs cyber, d’éditeurs de sécurité et de cabinets de conseil.
Ce que disent les experts de la crise cyber française
Pour les spécialistes, 2026 marque un basculement. « La cybersécurité n’est plus un sujet technique, c’est une urgence stratégique nationale », résume Gérôme Billois, associé en cybersécurité et confiance numérique chez Wavestone, invité d’un débat médiatique le 9 juin 2026. Selon lui, l’accumulation d’incidents touchant l’État impose de repenser la gouvernance des données publiques, et non plus seulement leur protection périmétrique.
Pascal Le Digol, directeur France de Proofpoint, met en avant le facteur humain. Les attaquants, explique-t-il, contournent de plus en plus l’authentification multifacteur (MFA) par l’ingénierie sociale et le « vishing », ces appels frauduleux qui poussent un employé à valider une connexion. « L’authentification est devenue le socle de la sécurité du cloud, et c’est précisément ce socle que les attaquants visent », observe-t-il, reprenant un constat partagé par les perspectives 2026 publiées par les grands acteurs du secteur.
Du côté gouvernemental, la ministre déléguée à la Santé Stéphanie Rist a reconnu l’ampleur de l’affaire Cegedim, confirmant un périmètre de « plus de 15 millions de personnes ». L’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui se présente comme le moteur d’une « nation cyber-résiliente », rappelle de son côté ses dix règles d’or, en insistant sur l’analyse de risques et l’homologation de sécurité des plateformes publiques. Le consensus des experts tient en une phrase : la France subit moins un manque d’outils qu’un défaut d’anticipation à l’échelle de ses bases de données géantes.
RGPD et sanctions : la CNIL hausse le ton
Le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. La CNIL dispose donc d’un levier dissuasif puissant, qu’elle active de plus en plus face aux défauts de sécurité. L’antécédent Cegedim (800 000 euros en 2024) montre que la régulatrice n’hésite pas à sanctionner le secteur de la santé. Avec une fuite touchant 15 millions de personnes, l’instruction en cours pourrait déboucher sur une sanction d’un tout autre ordre de grandeur si un manquement à l’obligation de sécurité de l’article 32 est établi.
Au-delà de la répression, la CNIL pousse à la prévention. Elle recommande le chiffrement des bases sensibles, la minimisation des données collectées, la journalisation des accès et des tests d’intrusion réguliers. Ces mesures rejoignent les exigences de la directive européenne NIS2 et du Cyber Resilience Act, qui durcissent les obligations des opérateurs essentiels et des fabricants de produits numériques. Notre dossier sur la transposition de NIS2 en France détaille les 15 000 entités désormais concernées.
La logique de fond est claire : faire de la sécurité une obligation de résultat, et non plus de simple bonne volonté. Pour les responsables de traitement, l’équation change. Le coût d’une politique de sécurité robuste devient inférieur au coût cumulé d’une amende, d’une action collective et d’une perte de confiance.
Comparaison européenne : la France face à ses voisins
La France n’est pas seule. L’Allemagne, l’Espagne, l’Italie et le Royaume-Uni affrontent la même vague de rançongiciels et de fuites. La différence française tient à la conjonction d’une forte numérisation publique, d’une transparence réglementaire élevée et d’une concentration des données chez quelques prestataires. Le tableau ci-dessous compare la posture des principaux pays européens, sur la base des cadres réglementaires et des dispositifs nationaux connus en 2026.
| Pays | Autorité de protection | Cadre clé 2026 | Spécificité du risque |
|---|---|---|---|
| France | CNIL | RGPD, NIS2, stratégie nationale | Forte numérisation des services publics |
| Allemagne | BfDI | RGPD, NIS2, loi BSI | Tissu industriel et PME ciblés |
| Espagne | AEPD | RGPD, NIS2 | Tourisme et secteur bancaire |
| Italie | Garante | RGPD, NIS2 | Administrations locales fragmentées |
| Royaume-Uni | ICO | UK GDPR, NCSC | Cadre post-Brexit autonome |
À l’échelle de l’Union, l’Agence de l’Union européenne pour la cybersécurité (ENISA) coordonne le partage d’informations et la réponse aux incidents transfrontaliers. La directive NIS2 harmonise les obligations, mais sa transposition reste inégale d’un État membre à l’autre, ce qui crée des angles morts exploités par les attaquants. La souveraineté numérique européenne, thème récurrent des salons 2026, vise précisément à réduire cette dépendance et cette fragmentation.
Le rôle de l’IA dans la nouvelle génération d’attaques
L’intelligence artificielle change la donne des deux côtés. Pour les attaquants, elle industrialise le phishing : un courriel frauduleux rédigé par un modèle de langage ne comporte plus les fautes qui trahissaient autrefois l’arnaque. Les perspectives 2026 du secteur soulignent l’essor de l’« IA agentique », capable d’enchaîner des actions de reconnaissance et d’exploitation avec une autonomie croissante. Le « vishing » dopé par le clonage vocal permet d’imiter la voix d’un dirigeant pour autoriser un virement ou une connexion.
Côté défense, l’IA accélère la détection des comportements anormaux, comme ce « comportement applicatif anormal » que Cegedim a repéré sur ses comptes médecins. Les centres opérationnels de sécurité (SOC) s’appuient sur des modèles pour trier des millions d’alertes et isoler les signaux faibles. La course est asymétrique : l’attaquant n’a besoin de réussir qu’une fois, le défenseur doit réussir à chaque instant. C’est cette asymétrie que l’automatisation, des deux côtés, vient amplifier en 2026.
Les experts s’accordent sur un point : la donnée volée aujourd’hui nourrira les attaques de demain. Les 250 millions d’enregistrements français en circulation constituent un carburant idéal pour entraîner des modèles malveillants et personnaliser les campagnes futures. La fuite n’est pas un événement isolé, mais le premier maillon d’une chaîne d’exploitation qui se déploie sur plusieurs années.
Comment se protéger après une fuite de données
Face à une fuite, l’usager n’est pas totalement démuni. Première étape : vérifier son exposition. Des services comme Have I Been Pwned ou les annuaires de fuites françaises permettent de savoir si une adresse e-mail figure dans une base compromise. Deuxième étape : changer immédiatement les mots de passe réutilisés et activer l’authentification à deux facteurs partout où c’est possible, de préférence via une application ou une clé physique plutôt que par SMS.
Quand des données bancaires ou fiscales sont en jeu, la vigilance doit porter sur les opérations. Surveiller ses relevés, mettre en place des alertes sur les virements et, en cas de fraude, déposer plainte rapidement pour activer la responsabilité de la banque. Pour les données de santé ou d’état civil, qui ne se changent pas, la meilleure défense reste la méfiance : tout appel ou message se réclamant d’un organisme connu doit être recoupé par un canal officiel avant toute action. Notre guide anti-hameçonnage détaille les réflexes à adopter.
Pour comprendre les mécanismes en jeu et les bonnes pratiques générales, notre dossier de fond sur les fuites de données explique comment elles surviennent et comment limiter durablement son exposition. La règle d’or : considérer que toute donnée que vous confiez à un tiers peut un jour fuiter, et choisir en conséquence ce que vous acceptez de partager.
Cinq prédictions pour la cybersécurité française fin 2026
À partir des tendances observées, voici cinq évolutions probables d’ici la fin 2026. Premièrement, une sanction CNIL majeure liée à l’affaire Cegedim ou à un autre incident de santé, susceptible de battre les records nationaux et d’envoyer un signal au secteur. Deuxièmement, une accélération des actions collectives, portées par des associations de patients et de consommateurs, qui transformeront la fuite en risque financier direct pour les entreprises.
Troisièmement, un durcissement réglementaire autour des sous-traitants, maillon faible identifié de la chaîne, avec des exigences d’audit renforcées dans le sillage de NIS2. Quatrièmement, une montée en puissance des attaques assistées par IA, en particulier le phishing personnalisé et le clonage vocal, qui rendront obsolètes les formations de sensibilisation classiques. Cinquièmement, une pression politique croissante pour la souveraineté numérique, avec un soutien accru au cloud souverain et aux éditeurs européens de sécurité.
Le fil conducteur de ces prédictions est l’institutionnalisation de la crise. La fuite de données cesse d’être un fait divers technique pour devenir un enjeu de politique publique, au même titre que la santé ou la défense. 2026 restera l’année où la France a pris la mesure, dans la douleur, de sa dépendance numérique.
FAQ : fuite de données en France 2026
Combien de fuites de données la CNIL a-t-elle enregistrées en 2025 ?
La CNIL a reçu 6 167 notifications de violations de données en 2025, soit environ 10 % de plus qu’en 2024. Près de la moitié de ces incidents résultent d’un piratage informatique, le reste d’erreurs humaines ou de défauts techniques.
Quelle est la plus grande fuite de données française de 2026 ?
En volume, l’attaque contre Cegedim Santé arrive en tête avec environ 15 millions de personnes concernées, devant la cyberattaque de l’ANTS (11,7 millions de comptes), révélée en avril 2026.
Mes données de santé ont-elles fuité avec Cegedim ?
Selon Cegedim, les données exposées provenaient du dossier administratif (identité, coordonnées). Pour environ 169 000 patients, des notes en texte libre pouvaient contenir des informations sensibles. Les dossiers médicaux structurés seraient restés intacts.
Comment savoir si je suis victime d’une fuite ?
Vérifiez votre adresse e-mail sur des services de recensement de fuites, surveillez vos relevés bancaires, et méfiez-vous des messages personnalisés qui mentionnent des informations exactes vous concernant : ils trahissent souvent une donnée déjà compromise.
Quelles sanctions risquent les entreprises responsables ?
Le RGPD permet à la CNIL d’infliger jusqu’à 20 millions d’euros d’amende ou 4 % du chiffre d’affaires annuel mondial. Des actions collectives de victimes peuvent s’y ajouter, alourdissant la facture finale.
Pourquoi la France est-elle autant touchée ?
La forte numérisation des services publics, la concentration des données chez quelques prestataires et une transparence réglementaire élevée se combinent. La France déclare aussi davantage ses incidents, ce qui gonfle sa visibilité statistique sans pour autant signifier qu’elle est moins sûre que ses voisins.
Comment se protéger durablement ?
Utilisez des mots de passe uniques via un gestionnaire, activez l’authentification à deux facteurs, limitez les données que vous partagez et restez sceptique face aux sollicitations non sollicitées. Pour les identifiants impossibles à changer, la vigilance permanente reste la seule parade.
Related Coverage
- Cyberattaque ANTS : 11,7 millions de comptes [2026]
- FICOBA piraté : 1,2 million de comptes exposés [2026]
- Cyberattaque infrastructures critiques : 5 aéroports [2026]
- NIS2 France : 15 000 entités, la CJUE saisie [2026]
- Fuites de données : comment elles surviennent et comment s’en protéger
- Hameçonnage : reconnaître la tromperie et réagir
