Skip to content
Chaîne d’approvisionnementContenu

Fuite chez Caisse d'allocations familiales (via Direction du Numérique (DINUM))

Révélée fin février 2026, la compromission de HubEE — la plateforme interministérielle d'échange de documents opérée par la DINUM — a exposé les données personnelles d'allocataires du RSA, environ 70 000 dossiers (près de 160 000 documents) étant concernés ; aucune donnée bancaire ni mot de passe n'a été exposé.

Victime
Caisse d'allocations familiales

Le 25 février 2026, la Caisse d'allocations familiales (CAF) — l'organisme national chargé des prestations familiales — a alerté les bénéficiaires du RSA d'une compromission de leurs données personnelles, à la suite d'une fuite qui ne provient pas des systèmes propres de la CAF.

L'incident découle de la compromission de HubEE, la plateforme interministérielle d'échange de documents opérée par la Direction interministérielle du numérique (DINUM) et utilisée par plusieurs administrations pour acheminer démarches et documents (notamment via service-public.gouv.fr). La DINUM, en tant qu'opérateur responsable de la transmission des données CAF aux conseils départementaux pour l'instruction du RSA, a détecté l'intrusion en janvier 2026 et émis la notification de la fuite. La fuite s'étant produite sur une plateforme tierce de l'administration et non sur caf.fr, l'incident relève d'une attaque de la chaîne d'approvisionnement.

Les données exposées, relatives aux demandes de RSA, comprenaient :

  • Nom et prénom(s) du bénéficiaire et du responsable du dossier
  • Numéro de sécurité sociale (NIR)
  • Matricule / numéro allocataire
  • Adresse électronique et numéro de téléphone
  • Date de la demande de RSA et date de début des droits et devoirs

La DINUM a indiqué qu'environ 70 000 dossiers, représentant près de 160 000 documents, étaient concernés ; le nombre exact de personnes touchées n'a pas été rendu public. Les autorités ont souligné qu'aucune donnée bancaire ni mot de passe de connexion n'a été compromis et que la fuite n'a aucun impact sur les droits au RSA ni sur la date de versement. La CAF et la DINUM ont entrepris de notifier individuellement les bénéficiaires concernés, conformément aux obligations du RGPD.

Sources

  1. linkedin.comhttps://www.linkedin.com/posts/clementdomingo_cyberalert-france-cyberattaque-share-7432411450708586496-GqN-
  2. generation-nt.comhttps://www.generation-nt.com/actualites/fuite-donnees-rsa-caf-dinum-hubee-2071487
  3. lemondeinformatique.frhttps://www.lemondeinformatique.fr/actualites/lire-des-donnees-des-beneficiaires-du-rsa-compromises-99465.html
  4. leclaireur.fnac.comhttps://leclaireur.fnac.com/article/658193-nouvelle-fuite-de-donnees-a-la-caf-qui-est-concerne/

Incidents liés

Chaîne d’approvisionnementContenu

Police nationale : cyberattaque contre la plateforme e-campus, 176k agents touchés

Le 15 avril 2026, la Direction générale de la police nationale (DGPN) a confirmé le piratage mi-mars de sa plateforme de formation en ligne e-campus, gérée par un prestataire ; le groupe HexDex revendique 176 317 profils d'agents incluant noms, emails professionnels, localisations et historiques de connexion.

Victim
Police nationale
Records
176.3K