Entre le 4 et le 9 janvier 2026, une fuite de données massive frappe Service-public.fr — le portail officiel de l’État français. L’attaque passe par un sous-traitant insuffisamment sécurisé ayant un accès étendu à la base de données utilisateurs. Des identifiants, pièces justificatives numérisées et données personnelles de millions d’usagers sont exposés. Dans la même période, pas moins d’une douzaine de fédérations sportives françaises subissent des extractions massives de leurs bases de données de licenciés (Fédérations de voile, natation, golf, tir, chasse…), exposant noms, adresses, dates de naissance et coordonnées bancaires des cotisations.
Ces incidents illustrent une vulnérabilité structurelle systémique : l’externalisation des systèmes numériques à des prestataires dont le niveau de sécurité n’est pas vérifié. Les associations et fédérations sportives font souvent appel à des prestataires IT de petite taille sans clauses contractuelles de sécurité, sans audit, et avec des droits d’accès bien supérieurs au nécessaire. Les données collectées alimentent des campagnes de phishing ultra-ciblé : des fraudeurs envoient par exemple des emails «Renouvellement de votre licence sportive» à des adresses connues avec le bon nom, le bon sport, et parfois les 4 derniers chiffres du numéro de carte bancaire. La CNIL est saisie pour plusieurs de ces incidents et initie un plan d’accompagnement cybersécurité pour les fédérations sportives.