90 millions de comptes touchés, 12 fuites majeures en 2026, e-commerces, santé et services de l’État ciblés.

Plus de 90 millions de comptes touchés en un seul mois, des bases de données qui circulent sur des forums clandestins, des organismes publics et des entreprises privées pris dans la même vague. En 2026, la France ne fait plus face à quelques incidents isolés, mais à une accumulation rapide de fuites qui met à l’épreuve la protection des informations personnelles, et la capacité des autorités à suivre le rythme.

Ce qui frappe, c’est l’ampleur, mais aussi la variété des données exposées, des simples coordonnées jusqu’à des éléments très sensibles, comme des informations liées à la santé, à la sécurité ou à l’identité. Et tu le vois vite dans la vie réelle, une fuite ne reste pas cantonnée à un fichier, elle se transforme en vagues de phishing, d’usurpations, et de ciblage beaucoup plus fin des victimes.

Janvier 2026: 90 millions de comptes et une fuite tous les deux jours

Le signal le plus net arrive dès janvier, avec un chiffre qui écrase les repères habituels, plus de 90 millions de comptes compromis en France sur le seul mois. On parle d’un volume presque équivalent à ce que le pays avait encaissé sur l’ensemble de l’année précédente, ce qui donne une idée du changement d’échelle. Dans le même temps, le rythme s’emballe, une nouvelle fuite recensée environ tous les deux jours, ce qui rend la réaction collective très compliquée.

Dans la liste des organisations touchées, tu retrouves des noms très différents, des services et plateformes, des structures liées au quotidien, et des acteurs associatifs. Des cas cités publiquement sur la période incluent URSSAF, des fédérations sportives, ou encore des acteurs comme O’Tacos, Panorama Banques, Waltio, ENI et Ledger. Ce mélange public-privé montre un point simple, l’attaquant choisit souvent la facilité d’accès et l’effet de masse, pas le prestige de la cible.

Les données qui sortent dans ces épisodes sont rarement “neutres”. On parle de noms, e-mails, adresses, numéros de téléphone, parfois des pièces ou photos d’identité. Une fois publiées, elles alimentent des campagnes d’arnaques très concrètes, faux messages d’administration, appels de “support”, ou tentatives de prise de contrôle de comptes. Un consultant en cybersécurité, Marc L., résume souvent le problème comme ça, “à partir d’un e-mail et d’un numéro, l’escroc n’a plus qu’à choisir le bon scénario”.

Il y a aussi une nuance qu’on oublie, la statistique “comptes touchés” ne veut pas dire “personnes uniques”. Un même individu peut apparaître dans plusieurs fuites, parfois avec des informations différentes, ce qui augmente la puissance des recoupements. C’est précisément ce qui fait basculer une fuite du niveau “désagréable” au niveau “dangereux”, parce que les attaquants construisent des profils. Et quand l’alerte arrive tard, tu te retrouves à courir derrière une diffusion déjà massive.

Santé: 35 millions exposés, Cegedim et les hôpitaux dans la tourmente

Le secteur santé concentre une partie des épisodes les plus lourds de 2026. Des fuites touchant des systèmes liés à des agences régionales et des hôpitaux ont exposé jusqu’à 35 millions de Français, ce qui place l’événement parmi les plus importants jamais observés dans le pays. Même quand les données ne contiennent pas un dossier médical complet, des informations administratives et contextuelles suffisent souvent à déduire des éléments sensibles.

Un autre cas marquant concerne Cegedim, présenté comme l’une des plus grandes fuites de données santé en France, avec jusqu’à 15 millions de personnes potentiellement concernées en février. Là encore, l’enjeu dépasse le simple “vol d’e-mails”. La santé, c’est le terrain idéal pour l’extorsion douce, les arnaques au remboursement, et les campagnes de phishing très crédibles, parce que le vocabulaire et les organismes sont familiers à tout le monde.

Dans les hôpitaux, la conséquence la plus immédiate n’est pas toujours visible depuis l’extérieur. Un responsable informatique d’établissement, interrogé sous anonymat, décrit plutôt une fatigue opérationnelle, “on passe du temps à vérifier, isoler, réinitialiser, et pendant ce temps les équipes métiers continuent, parce qu’on ne peut pas arrêter une prise en charge”. Cette contrainte crée un paradoxe, l’organisation doit rester ouverte et disponible, tout en durcissant ses accès et ses procédures.

Et puis il y a un point souvent mal compris, une donnée de santé ne se “change” pas comme un mot de passe. Une adresse e-mail, tu peux la remplacer, un numéro de carte, tu le fais refaire. Mais des données liées à l’identité et à un parcours de soins peuvent être réutilisées pendant des années, pour simuler une relation patient-organisme, ou pour crédibiliser une fraude. C’est une des raisons pour lesquelles ces fuites pèsent lourd, même sans “piratage bancaire” direct.

Police nationale et SIA: 176 000 agents, 62 000 détenteurs d’armes exposés

Quand les fuites touchent des bases liées à la sécurité, l’effet n’est pas seulement économique, il devient aussi humain. En 2026, des données associées à la Police nationale ont concerné 176 000 agents, et le SIA, lié aux armes, a exposé des informations sur 62 000 détenteurs avec des adresses. Ce type d’exposition change la nature du risque, parce qu’il ouvre la voie au ciblage et à l’intimidation.

Ce qui rend ces cas sensibles, c’est le couplage entre identités professionnelles, coordonnées, et parfois informations de contexte. Une adresse personnelle associée à une fonction, c’est une donnée à très forte valeur pour des acteurs malveillants. Et dans le cas des détenteurs d’armes, l’adresse devient un indicateur de “ce qu’on peut trouver” sur place, ce qui peut alimenter des scénarios de cambriolage ciblé ou de pression.

Les autorités se retrouvent alors dans une position délicate. D’un côté, il faut informer et protéger les personnes concernées, de l’autre il faut éviter de donner trop de détails exploitables. Marie-Laure Denis, présidente de la CNIL, a rappelé que l’État a “une responsabilité particulière” sur les données des Français. Cette phrase prend une autre dimension quand les fuites concernent des agents et des dispositifs sensibles, parce que la confiance institutionnelle est directement engagée.

La critique qu’on peut formuler, sans caricaturer, c’est que la réponse publique paraît souvent fragmentée. Chaque organisme gère son incident, ses notifications, ses mesures, et le citoyen reçoit des messages disparates, parfois tardifs, parfois vagues. Dans une crise structurelle, ce morcellement coûte cher, car l’attaquant, lui, pense en chaîne, réutilisation de données, recoupement, et industrialisation des arnaques. Et toi, tu dois te débrouiller pour comprendre si tu es exposé, et comment.

E-commerce et logistique: Mondial Relay, Florajet, ManoMano et la donnée “du quotidien”

Les fuites qui touchent l’e-commerce et la logistique ont un parfum particulier, elles contiennent la vie quotidienne. Début janvier, Florajet a signalé un accès à plus d’un million de bons de commande PDF datés de 2023 à 2026, avec noms, adresses, numéros de téléphone, et même les messages personnels joints aux bouquets. Ce dernier point est redoutable, parce qu’il donne du contexte intime, relations, événements, parfois de la vulnérabilité.

Autre dossier, Mondial Relay a expliqué qu’un pirate était entré dans sa plateforme de suivi, et un groupe criminel a revendiqué environ 5 millions de données issues de 300 000 fichiers, en affirmant conserver un accès depuis des attaques précédentes. Là, tu touches à un risque systémique, la persistance. Quand un attaquant garde un point d’entrée, l’incident n’est plus un épisode, c’est une série, et chaque mois peut apporter une nouvelle extraction.

Fin janvier, ManoMano a été confronté à une fuite chez un sous-traitant du service client, après la compromission d’un compte agent. Les données évoquées, nom, e-mail, téléphone, échanges avec le support, montrent un autre angle, la chaîne de prestataires. Même si aucun mot de passe n’est concerné, les conversations avec le support servent de matière première pour les escrocs, qui reprennent un ticket réel, un ton, une référence, et te font cliquer sur le mauvais lien.

Ce segment révèle aussi une limite des discours rassurants. Dire “pas de carte bancaire” ou “pas de mot de passe” ne suffit plus à décrire le danger. Une adresse et un historique de livraison, c’est un carburant pour les arnaques au colis, les faux remboursements, ou les usurpations. Un analyste, Marc D., résume ça de manière très concrète, “le paiement, c’est une étape, mais l’identité, c’est la clé qui ouvre toutes les portes”. Et ce type de données circule vite.

CNIL et cyberdélinquance: 6 167 fuites en 2025, 80 cas à 1 million

Le décor de 2026 s’explique aussi par la dynamique des années précédentes. La CNIL indique avoir été avisée de 6 167 fuites en 2025, soit 10% de plus que l’année d’avant, avec environ la moitié issues de piratage. Le volume est déjà massif, mais l’autre indicateur est plus parlant, sur les deux dernières années civiles, environ 80 fuites ont concerné au moins un million de Français.

Ce changement d’échelle tient à un facteur récurrent, la concentration des données dans des plateformes mutualisées, parfois gérées par des prestataires externes. C’est efficace pour les coûts et la maintenance, mais ça crée des points de rupture à fort rendement. Et quand les incidents se multiplient, les équipes de sécurité se retrouvent à faire du triage, prioriser, colmater, notifier, pendant que les attaquants exploitent les délais et les incohérences de communication.

Le phénomène est aussi nourri par une cyberdélinquance qui n’a plus le même profil qu’il y a dix ans. Des enquêtes récentes décrivent des trajectoires de jeunes acteurs en quête de reconnaissance, parfois “pour faire le buzz”, et des groupes plus structurés qui industrialisent la revente. Ce mélange rend la menace instable, parce que tu peux avoir, dans la même période, une intrusion opportuniste et une opération plus méthodique, avec diffusion, indexation et monétisation.

Dans ce contexte, les “bons réflexes” sont connus, mots de passe uniques, double authentification, vigilance sur les messages, mais le débat public se heurte à une réalité, la charge ne peut pas reposer uniquement sur l’utilisateur. Quand une fuite concerne des dizaines de millions de comptes, la prévention individuelle limite les dégâts, mais ne change pas la cause. Le vrai sujet, c’est la robustesse des systèmes, la gestion des prestataires, et la capacité à détecter tôt, parce qu’une base déjà diffusée ne se rattrape pas.