Skip to content
Chaîne d’approvisionnementContenu

Fuite chez Mairie de Chatou (via RDV360)

Les données personnelles des habitants ayant pris rendez-vous pour une pièce d'identité via la plateforme RDV360 ont été exposées lors de la compromission de ce prestataire tiers fin 2025, touchant la Mairie de Chatou parmi environ 1 300 communes françaises.

Victime
Mairie de Chatou

Le 24 novembre 2025, la Mairie de Chatou — commune des Yvelines située à l'ouest de Paris — a été citée parmi les victimes d'une fuite de données de grande ampleur affectant RDV360, une plateforme tierce de prise de rendez-vous en ligne utilisée par les communes françaises pour les demandes de cartes nationales d'identité et de passeports. Les données divulguées étaient celles des administrés ayant pris rendez-vous pour une pièce d'identité via ce service.

L'incident n'est pas une compromission directe de la mairie. Les attaquants ont réutilisé les identifiants d'un agent municipal (issus d'une fuite antérieure et sans lien) pour se connecter à un compte RDV360, puis ont exploité une faille du logiciel de la plateforme pour exporter en masse les données des administrés. Ces données portaient sur des rendez-vous pris entre 2021 environ et novembre 2025. Un groupe cybercriminel se faisant appeler « dumpsec » est crédité de l'orchestration de l'opération.

Les catégories de données exposées pour les administrés concernés comprenaient généralement :

  • Nom et prénom
  • Code postal et ville
  • Adresse email
  • Numéro de téléphone

Les enquêteurs ont qualifié ces informations de non sensibles : aucun document d'identité, donnée financière ou mot de passe n'a été dérobé. Sur l'ensemble des prestataires touchés (RDV360 et la plateforme similaire SynBird), environ 1 300 communes et de l'ordre de 14 millions d'enregistrements étaient concernés ; le nombre attribuable spécifiquement à Chatou n'a pas été publié séparément. Les communes concernées devaient notifier la CNIL et déposer plainte auprès de la gendarmerie. L'accès via le prestataire compromis a été coupé, rendant l'incident contenu au niveau du fournisseur.

Sources

  1. next.inkhttps://next.ink/211076/des-fuites-de-donnees-non-sensibles-dans-1-300-mairies-les-intermediaires-cibles/
  2. banquedesterritoires.frhttps://www.banquedesterritoires.fr/fuite-de-donnees-dans-1300-communes-les-prestataires-en-cause
  3. lagazettedescommunes.comhttps://www.lagazettedescommunes.com/1013192/cybersecurite-cyberattaque-plateformes-de-reservation-ces-collectivites-victimes-de-la-defaillance-de-leurs-fournisseurs/

Incidents liés