2025 : La France, championne européenne des fuites de données – Une crise nationale de cybersécurité

Par Vincent VDO

L’année 2025 a été catastrophique pour la protection des données personnelles en France. Avec plus de 15 millions de comptes compromis rien qu’au troisième trimestre (dont un pic à 11,4 millions au deuxième trimestre), la France s’est classée première ou deuxième européenne des violations de données selon les trimestres, et souvent dans le top 3 mondial derrière les seuls États-Unis. Ces incidents ont touché des dizaines de millions de citoyens, exposant noms, adresses, numéros de Sécurité sociale, données bancaires partielles, informations médicales et judiciaires. Les conséquences sont immédiates : explosion du phishing (+30 % estimée), usurpations d’identité, fraudes bancaires et revente massive sur le dark web. Pour un pays du G7 doté d’une administration numérique avancée (FranceConnect, ANTS, services en ligne généralisés), cette vulnérabilité chronique révèle des failles structurelles profondes : sous-investissement historique en cybersécurité, dépendance excessive à des sous-traitants vulnérables et retard dans la résilience des infrastructures critiques.

Les organismes publics : Une administration numérique en état de siège

Les institutions étatiques et parapubliques ont concentré une part disproportionnée des attaques, démontrant la fragilité des bases de données centrales.

  • Ministère de l’Intérieur (décembre 2025) : Intrusion massive avec accès aux fichiers TAJ (Traitement d’antécédents judiciaires) et FPR (Fichier des personnes recherchées), messageries sensibles et interfaces Interpol. Jusqu’à 16 millions de personnes concernées (victimes, mis en cause, témoins), avec publication partielle de données et demande de rançon.
  • France Travail (multiples incidents tout au long de 2025) : Au moins sept violations majeures, dont juillet (340 000 demandeurs d’emploi via la plateforme Kairos : noms, adresses, identifiants), novembre (30 000 via infostealer) et décembre (1,6 million de jeunes suivis par les Missions Locales : noms, dates de naissance, numéros de Sécurité sociale, e-mails, adresses postales et téléphones). Ces breaches récurrents illustrent une vulnérabilité chronique de l’agence.
  • Pajemploi – Urssaf (novembre 2025) : 1,2 million de salariés du particulier-employeur touchés (noms, dates et lieux de naissance, adresses, numéros de Sécurité sociale, RIB partiels). Première grande fuite Urssaf depuis des années.
  • ANTS – Agence nationale des titres sécurisés (septembre 2025) : Revendication (démentie mais crédible) de 12 millions de données d’état civil circulant sur le dark web.
  • Secteur santé public : Multiples attaques sur Normánd’e-Santé, ARS Hauts-de-France et Pays de la Loire (septembre, plus de 2 millions de patients), ainsi que Weda (logiciel utilisé par 23 000 professionnels de santé, novembre).
  • Autres : Caisse des dépôts (Ircantec, février, 70 000 retraités), caisses de retraite complémentaires (mai), CAF (tentatives tout au long de l’année), Naval Group (été, 1 To de documents techniques sensibles).

Ces incidents publics représentent une menace directe à la souveraineté numérique : exposition de données judiciaires et d’état civil compromet la confiance dans l’État et facilite les attaques géopolitiques.

Les grandes entreprises privées : Télécoms et services en première ligne

Le secteur privé, particulièrement les opérateurs télécoms et les grandes plateformes, a enchaîné les catastrophes massives.

  • Bouygues Telecom (août 2025) : 6,4 millions de clients touchés (noms, adresses, IBAN, données contractuelles complètes). Une des plus grandes fuites télécoms de l’année.
  • Air France-KLM (août 2025) : Breach via un outil CRM tiers, exposant noms, coordonnées, historiques de voyage et données de fidélité de millions de passagers.
  • SFR (décembre 2025) : Accès non autorisé à un outil interne de planification d’interventions ; millions de clients notifiés (noms complets, e-mails, adresses postales, références client, numéros de téléphone).
  • Orange (multiples incidents 2025) : Fuites partielles (souvent liées à des bases obsolètes ou internationales), mais impactant plusieurs centaines de milliers de clients français.
  • Autres cas notables : Intersport (juin, plus de 100 000 clients), Alain Afflelou, Auchan, Alltricks, Mango, Fédération française de Tir, Schmidt & Cuisinella (vague estivale).

Ces breaches privés alimentent directement la cybercriminalité : les données télécoms et bancaires partielles sont immédiatement monétisées pour du phishing ciblé et des fraudes.

Les sanctions CNIL en 2025 : Une réponse réglementaire encore trop timide

La CNIL a renforcé ses contrôles, prononçant des dizaines de sanctions (plus de 26 procédures simplifiées) pour un total de plusieurs centaines de millions d’euros cumulés.

  • Free Mobile : Procédure de sanction ouverte dès mars 2025 pour la fuite massive d’octobre 2024 (19,2 millions d’abonnés). Menace d’une amende record de 48 millions d’euros annoncée fin 2025, pour manquements graves à la sécurité.
  • Autres amendes significatives : Google (325 millions d’euros pour cookies et tracking), Shein (150 millions), diverses plateformes publicitaires et retailers (cumul de plusieurs dizaines de millions).

Malgré cette fermeté, les sanctions restent souvent postérieures aux dommages et n’empêchent pas la récurrence.

Une position dramatique pour un pays du G7 : La France, leader européen des fuites

Pour un membre du G7 avec une économie numérique parmi les plus avancées d’Europe, la situation française est particulièrement alarmante. Selon l’ENISA Threat Landscape 2025, la France figure systématiquement dans le top 5 des États membres les plus touchés par ransomware et data breaches (9,5 % des incidents revendiqués, derrière l’Allemagne 23,4 %, l’Italie 11,3 % et l’Espagne 9,8 %). Le rapport CrowdStrike 2025 European Threat Landscape place France dans le top 4 des pays européens les plus ciblés (avec UK, Allemagne, Italie et Espagne), avec 92 % des cas impliquant chiffrement et exfiltration. En densité (par habitant ou par internaute), la France dépasse souvent ses voisins : pics records au Q2 et Q3 (Surfshark), alors que l’Allemagne, malgré un volume absolu plus élevé, bénéficie d’une meilleure résilience industrielle. L’Italie et l’Espagne affichent des progressions, mais restent en retrait sur les breaches massifs. Le Royaume-Uni (hors UE) domine encore, mais la France surpasse largement les Pays-Bas, la Belgique ou la Suède. Cette vulnérabilité s’explique par une digitalisation accélérée sans sécurisation proportionnelle, une dépendance à des tiers fragiles (98 % des grandes entreprises françaises impactées par des breaches supply-chain) et un retard accumulé face à des attaquants de plus en plus sophistiqués (rançongiciels, États hostiles, hacktivistes).

Solutions individuelles : Reprendre la main sur ses données

Face à cette hémorragie nationale, chaque citoyen doit adopter une hygiène numérique renforcée :

  • Vérifiez régulièrement vos expositions sur Have I Been Pwned, le checker Cybernews ou les outils CNIL.
  • Utilisez un gestionnaire de mots de passe robuste (Bitwarden, KeePass) et changez-les systématiquement après une fuite connue.
  • Activez l’authentification à deux facteurs (2FA, de préférence par application ou clé physique) sur tous les comptes sensibles (banque, e-mail, administrations).
  • Méfiez-vous des e-mails et SMS non sollicités : ne cliquez jamais sur des liens suspects, vérifiez les expéditeurs.
  • Surveillez vos comptes bancaires et signalez immédiatement toute transaction anormale.
  • Adoptez un VPN sur les réseaux publics, un antivirus à jour et désactivez les macros dans les documents Office.
  • En cas de doute ou d’usurpation, saisissez immédiatement Cybermalveillance.gouv.fr ou la CNIL.

Une vigilance individuelle massive est aujourd’hui la seule barrière efficace en attendant une réaction systémique.

Sources

 

RGPD, DSA… Une Illusion de Protection européenne