On demande désormais aux citoyens français de passer presque exclusivement par une interface numérique pour travailler, se soigner, s'identifier ou se déplacer. France Travail, ANTS, Ameli, opérateurs télécoms, banques en ligne, plateformes privées : la promesse était celle d'une administration plus rapide et plus sûre. Entre 2025 et 2026, c'est l'inverse qui s'est imposé comme norme — un régime de fuite continue où l'incident isolé a cédé la place à la continuité.
Une architecture numérique devenue vulnérable
Le constat est désormais documenté noir sur blanc par l'autorité censée protéger les Français de ces dérives. Dans son bilan annuel, la CNIL recense 6 167 violations de données notifiées en 2025, en hausse de 9,5% par rapport à 2024 — un niveau jamais atteint. La moitié de ces incidents relève directement du piratage informatique, et les secteurs les plus visés sont précisément ceux qui concentrent le plus de données sensibles : l'administration publique, la santé, la finance et l'assurance. La présidente de la CNIL, Marie-Laure Denis, a annoncé un renforcement des contrôles et des sanctions pour 2026. L'institution a par ailleurs prononcé un montant record de sanctions en 2025, près de 487 millions d'euros sur 83 décisions, contre 55 millions l'année précédente.
Le plus inquiétant n'est pas le chiffre de 2025 en lui-même, mais sa trajectoire. Sur le seul premier trimestre 2026, la CNIL a déjà comptabilisé plus de 2 730 violations, contre 2 500 sur la même période en 2025. Le mouvement ne ralentit pas, il s'accélère. La logique est structurelle : plus les données sont centralisées, plus elles deviennent une cible de choix — la CNIL recense désormais une quarantaine de violations par an touchant des bases de plus d'un million de personnes, soit dix de plus qu'il y a deux ans.
Quand l'état expose ses propres fichiers
Le cas France Travail illustre la dimension de ce basculement. L'incident remonte à mars 2024 : des attaquants parviennent, par ingénierie sociale, à usurper les comptes de conseillers Cap Emploi et accèdent ainsi aux données de l'ensemble des demandeurs d'emploi inscrits au cours des vingt dernières années, numéros de sécurité sociale compris. Au total, 36,8 millions de personnes sont concernées, pour 25 gigaoctets de données exfiltrées. La CNIL a tranché le 22 janvier 2026 : amende de 5 millions d'euros.
Trois mois plus tard, c'est l'identité elle-même qui se retrouve exposée. Le 15 avril 2026, une intrusion est détectée sur le portail de l'Agence nationale des titres sécurisés, devenue France Titres. Le ministère de l'Intérieur confirme l'incident le 20 avril : 11,7 millions de comptes utilisateurs sont concernés. Le détail le plus révélateur de cette affaire n'est pas son ampleur, mais sa cause : la faille exploitée est élémentaire, ne nécessitant aucun mot de passe volé, et le suspect interpellé est un mineur de quinze ans.
De l'identifiant fiscal au compte d'agent : personne n'est à l'abri
Le reste de l'appareil administratif n'est pas mieux loti. Le 13 novembre 2025, une cyberattaque visant le prestataire d'infrastructure Eurofiber France aurait donné accès aux données de plusieurs milliers d'organisations françaises, dont la SNCF, Orange et plusieurs ministères. Le 1er janvier 2026, l'Office français de l'immigration et de l'intégration découvre que le portail de l'Administration numérique des étrangers en France a été compromis via un sous-traitant intervenant dans le cadre du contrat d'intégration républicaine ; le directeur général de l'OFII confirme l'incident, tandis que le pirate à l'origine de la revendication évoque environ 2,1 millions de dossiers de ressortissants étrangers exposés — identité complète, situation familiale, date d'entrée en France, nature du titre de séjour. Deux jeunes hackers seront arrêtés dans les mois suivants. Le 18 février 2026, la Direction générale des finances publiques confirme à son tour un accès illégitime au fichier FICOBA, qui recense l'ensemble des comptes bancaires ouverts en France : un agent a vu son identifiant usurpé pendant un mois, permettant l'extraction de données concernant 1,2 million de comptes.
Le monde scolaire n'échappe pas à la règle. Fin 2025, un compte de personnel habilité est usurpé pour accéder au service de gestion des comptes ÉduConnect ; le ministère de l'Éducation nationale confirme l'incident en avril 2026, tandis que le collectif à l'origine de la fuite revendique jusqu'à 3,5 millions d'élèves mineurs concernés, chiffre non confirmé officiellement.
Mais c'est le mois de juin 2026 qui illustre le mieux ce que signifie une continuité plutôt qu'un incident isolé. Le 3 juin, une base attribuée à Osmose, un outil interne du réseau France Services, expose les profils de 11 000 agents. Le 7 juin, Tchap, la messagerie chiffrée et souveraine déployée par l'État pour protéger ses agents des messageries grand public, est compromise par l'usurpation d'un simple compte utilisateur lié à l'Éducation nationale ; la Dinum et l'Anssi confirment officiellement que 73 467 agents sur les 825 000 inscrits sont concernés. Cinq jours plus tard, le 12 juin, c'est l'ensemble du réseau France Services — plusieurs milliers de guichets de proximité chargés d'accompagner les citoyens dans leurs démarches auprès de la CAF, de l'Assurance maladie, de France Travail, des impôts ou de l'ANTS — qui voit une base attribuée à son portail publiée sur un forum cybercriminel : plus de 12 800 comptes de conseillers et d'agents sont concernés, sans qu'aucune communication officielle n'ait pour l'instant confirmé l'origine exacte de la fuite. Le lendemain, 13 juin, l'académie de Lyon signale une exfiltration de données sur Affelnet, l'application d'affectation des collégiens après la troisième, pendant qu'une base similaire attribuée à l'académie de Lille circule sur les mêmes forums. Le 15 juin, enfin, la RATP confirme avoir identifié une fuite touchant potentiellement plus de 62 000 employés, le même jour où la plateforme de bénévolat JeVeuxAider.gouv.fr annonce le vol des données de 558 000 utilisateurs. Six fuites distinctes en moins de deux semaines, touchant un réseau de guichets administratifs, une messagerie d'État, deux académies, une entreprise de transport public et une plateforme de bénévolat : difficile, à ce stade, de parler encore d'exception.
La santé, maillon chronique
Le secteur médical concentre une part disproportionnée des incidents les plus graves. Fin 2025, le logiciel MLM, utilisé par des médecins libéraux et édité par Cegedim Santé, est compromis ; quinze cents praticiens sur les trois mille huit cents utilisateurs du logiciel sont touchés. L'affaire n'éclate publiquement que le 26 février 2026, révélée par un reportage de France 2 : environ quinze millions de patients sont concernés. L'entreprise avait déjà été sanctionnée par la CNIL en septembre 2024, à hauteur de 800 000 euros, pour traitement non autorisé de données de santé.
Le cas Almerys est une récidive avérée. Une première fuite, début 2024, avait déjà touché plus de trente-trois millions de Français via cet acteur central du tiers payant et son concurrent Viamedis. Fin mai 2026, nouvel incident : la plateforme de prise en charge d'Almerys est attaquée et mise hors ligne, exposant les assurés de plusieurs mutuelles, dont Alan, AG2R La Mondiale et Aesio. Deux fuites majeures chez le même prestataire en deux ans, par le même type de vecteur.
Opérateurs, transporteurs, plateformes : la chaîne des prestataires
Le 13 janvier 2026, la CNIL sanctionne Free et Free Mobile à hauteur de 42 millions d'euros après une intrusion d'octobre 2024 ayant exposé les données de 24 millions de contrats d'abonnés. En août 2025, Bouygues Telecom reconnaît une cyberattaque touchant 6,4 millions de comptes clients, et Air France-KLM annonce une fuite via un prestataire externe, dans le cadre d'une vague internationale attribuée au groupe ShinyHunters. Auchan signale, le même mois, une nouvelle compromission de son programme de fidélité — un an après une attaque similaire qui en avait déjà affecté 550 000. En janvier 2026, ManoMano informe ses clients d'une fuite chez un sous-traitant basé à Tunis ; selon les revendications du pirate, jusqu'à 37,8 millions de comptes seraient concernés.
Le sport, nouvelle cible de prédilection
La Fédération française de football, la Fédération française de tir, la Fédération française de handball, la Fédération française de voile et la fédération omnisports ASPTT ont toutes signalé des fuites entre novembre 2025 et mars 2026, cette dernière touchant plus d'un million de membres avec un historique de douze ans. Le ministère des Sports lui-même n'est pas épargné, avec une exfiltration touchant environ 3,5 millions de foyers.
Une question de modèle, pas seulement de technique
Au fil de ces dossiers, un même schéma revient sans cesse : ce n'est presque jamais le cœur du système visé qui cède, mais la chaîne de sous-traitance ou le compte d'un agent isolé. L'État centralise des données critiques, externalise une partie croissante de leur traitement, interconnecte des systèmes conçus à des époques différentes — et les attaquants n'ont besoin de trouver qu'un seul maillon faible.
Une question reste largement absente de ce débat, pourtant directement pertinente pour les publics que cette rédaction suit avec attention. La fuite OFII en est une illustration concrète : les dossiers exposés début janvier 2026 concernaient des ressortissants étrangers en cours de régularisation, l'une des populations les plus vulnérables à l'usurpation d'identité et l'une des moins équipées pour s'en défendre. Le même raisonnement vaut pour les territoires ultramarins, qui dépendent exactement des mêmes bases centralisées que la métropole, sans bénéficier des mêmes relais locaux pour absorber le choc d'une fuite nationale.
La dématérialisation est devenue une norme administrative et économique. Mais les données personnelles des citoyens circulent désormais dans un système fragmenté, où l'exposition n'est plus l'exception mais la règle. Ce ne sont plus des incidents. C'est une continuité.
