Fonction publique, éducation, sport, voyage. Les secteurs changent, mais le scénario reste le même. Des données personnelles sont aspirées, revendues, recroisées, puis utilisées pour des fraudes de plus en plus crédibles. Les incidents récents touchant Compas, EduConnect, Basic-Fit et Booking confirment que, malgré le RGPD et malgré les discours sur la conformité, les exfiltrations massives continuent. Et pour les personnes concernées, le danger n’est jamais théorique. Il commence souvent après la fuite, quand les données alimentent du phishing ciblé, des escroqueries contextuelles ou des tentatives d’usurpation d’identité.
Le cas COMPAS, le système RH de l’Éducation nationale, est pour le moment le plus documenté. Le ministère a indiqué qu’un accès frauduleux avait eu lieu après l’usurpation d’un compte externe. Les premières investigations font état d’environ 243 000 agents, stagiaires ou titulaires, concernés. Les données exfiltrées incluent des éléments d’identité, des coordonnées comme l’adresse et le numéro de téléphone, des périodes d’absence sans données de santé, ainsi que l’identité et les numéros de téléphone professionnels des tuteurs. Le ministère précise avoir saisi la CNIL et l’ANSSI et suspendu les accès externes au système touché. Ce volume est déjà massif. Mais ce qui compte surtout, c’est la qualité des données dérobées. Nom, adresse, téléphone, environnement professionnel, etc., pour les fraudeurs, il s’agit là d’une base très exploitable.
Le dossier EduConnect est plus flou sur le volume, et c’est précisément ce qui le rend sensible. Le ministère a confirmé le 14 avril 2026 une cyberattaque ciblée ayant entraîné la fuite de données personnelles d’élèves, tout en précisant que le nombre exact est encore en cours d’évaluation. Les données concernées sont le nom, le prénom, l’identifiant EduConnect, l’établissement, la classe, l’adresse e-mail lorsqu’elle a été renseignée, et le code d’activation pour les comptes qui n’avaient pas encore été activés. Le ministère affirme que les comptes déjà activés ne sont pas concernés. Il explique aussi que l’attaque a exploité une vulnérabilité corrigée en décembre 2025, après usurpation du compte d’un personnel habilité. Là encore, le problème n’est pas seulement la faille technique, c’est surtout la possibilité de bâtir des approches frauduleuses très ciblées à destination de familles, d’élèves ou d’établissements.
Chez Basic-Fit, le choc vient de l’ampleur européenne. L’entreprise a annoncé qu’un accès non autorisé avait permis le téléchargement d’une partie des données de membres actifs. Selon Reuters, qui cite un porte-parole de l’enseigne, l’incident touche environ 1 million de membres, dont 200 000 aux Pays-Bas. Basic-Fit précise que les données exposées comprennent des informations d’abonnement, les noms et adresses, les adresses e-mail, les numéros de téléphone, les dates de naissance et les coordonnées bancaires. L’entreprise indique en revanche que les mots de passe n’ont pas été compromis et que les documents d’identité n’étaient pas stockés dans le système concerné. C’est un cas typique de fuite à fort potentiel de monétisation. Dès lors que des informations bancaires ou assimilées sont dans la boucle, le risque de fraude grimpe immédiatement.
Le cas Booking est un peu différent. L’entreprise a confirmé que des pirates avaient pu accéder à des données de réservation de certains clients. Les informations évoquées comprennent des noms, adresses e-mail, numéros de téléphone et détails de réservation. Booking a réinitialisé des PIN liés à certaines réservations, mais n’a pas communiqué publiquement le nombre de clients concernés. La fuite est confirmée, l’ampleur chiffrée ne l’est pas. Mais cela n’enlève rien à la gravité du problème. Un fraudeur qui connaît déjà une réservation réelle, un hôtel, des dates de séjour et un numéro de téléphone peut produire une arnaque infiniment plus crédible qu’un message générique. Dans le voyage, le contexte fait souvent toute la différence.
Le vrai coût des fuites, c’est la défiance durable
Le réflexe le plus dangereux consiste à croire qu’une fuite de données se limite à une mauvaise publicité pour l’organisation touchée. C’est faux. Pour les personnes concernées, la fuite est souvent le début du problème, pas sa fin. La CNIL rappelle qu’une violation de données peut conduire à des tentatives d’usurpation d’identité, à l’utilisation frauduleuse d’un IBAN, à des détournements de ligne de type SIM swapping, et surtout à des campagnes de phishing par e-mail, SMS ou téléphone. Plus les données volées sont précises, plus l’attaque devient crédible. Un faux conseiller bancaire qui connaît le nom, l’adresse ou le numéro de téléphone de sa cible a un avantage énorme. Un faux message lié à une réservation Booking réelle ou à un environnement scolaire identifié est d’autant plus convaincant.
Pour COMPAS, la combinaison identité, coordonnées et environnement RH peut aussi nourrir des approches très ciblées contre des agents. Pour EduConnect, les données peuvent servir à tromper des familles ou à simuler des communications légitimes liées à la scolarité. Chez Basic-Fit, l’exposition de données d’abonnement et de coordonnées bancaires augmente le risque de prélèvements frauduleux, de faux appels de support ou de faux messages de mise à jour. Chez Booking, le danger principal est la fraude contextuelle, avec de faux messages d’hôtels, de fausses urgences de paiement ou de fausses confirmations. Dans tous les cas, la donnée fuitée devient une brique dans un puzzle plus large.
Le fond du problème, c’est que la conformité ne suffit pas. Le RGPD impose pourtant des obligations. Il oblige à notifier, à documenter, à informer, à sécuriser davantage, mais il ne crée pas une immunité. Notez que la CNIL a recensé 5 629 violations de données personnelles en 2024, soit une hausse de 20 % sur un an. Elle a aussi souligné que le nombre de violations touchant plus d’un million de personnes avait doublé. Sachez aussi que plus de 80 sanctions ont été prononcées en 2025, pour un total de 487 millions d’euros. Les règles existent, les sanctions aussi, mais les exfiltrations massives continuent. Autrement dit, la réglementation traite une partie du sujet, pas le cœur du problème.
Une érosion générale de la confiance
Cette répétition produit une érosion générale de la confiance. Les citoyens, les salariés, les élèves, les clients et les voyageurs sont sommés de fournir toujours plus de données pour accéder à des services essentiels ou simplement pratiques. En échange, on leur promet de la sécurité, de la conformité, de la maîtrise. Puis les mêmes données réapparaissent dans des bases compromises, des forums frauduleux, des campagnes d’arnaque ou des places de marché clandestines. À force, la promesse ne tient plus. La donnée personnelle cesse d’être perçue comme un actif protégé. Elle devient un passif permanent.
Il existe tout de même des moyens de réduire l’angle mort. Certaines solutions permettent de vérifier si des données ou des documents apparaissent dans des environnements criminels. ID Protect met par exemple en avant son service ID Darkweb Monitoring, présenté comme une surveillance du dark web appliquée aux documents d’identité. Le service propose une vérification immédiate et une surveillance continue de documents comme la carte d’identité, le passeport ou le permis de conduire. D’autres outils existent, comme Have I Been Pwned, qui permet de vérifier si une adresse e-mail figure dans une fuite connue et de mettre en place des alertes pour de futures expositions. Ces services ne règlent pas le problème à la source. Mais ils peuvent au moins raccourcir le délai entre la fuite et la réaction.
Les fuites de données ne sont donc plus des accidents exceptionnels. Elles deviennent un bruit de fond permanent de l’économie numérique. Tant que les organisations traiteront la sécurité comme un sujet de conformité, d’image ou de communication de crise, elles resteront en retard. Et tant que les utilisateurs penseront qu’une fuite est un épisode isolé, ils sous-estimeront la réalité. Une identité numérique partiellement exposée aujourd’hui peut être recroisée, enrichie et exploitée pendant des mois, voire des années. C’est là que la confiance se dégrade vraiment. Pas dans l’annonce publique de la fuite, mais dans sa persistance.
