12 millions de salariés touchés par la fuite de données Urssaf DPAE
Le 19 janvier 2026, l'Urssaf a révélé un accès frauduleux à son API DPAE via un compte partenaire compromis, exposant les nom, prénom, date de naissance, Siret de l'employeur et date d'embauche d'environ 12 millions de salariés embauchés depuis moins de trois ans.
- Victime
- Urssaf — DPAE
- données
- 12.0M
Le 19 janvier 2026, l'Urssaf — le réseau d'organismes chargé de collecter les cotisations sociales et familiales en France — a révélé un accès frauduleux à l'API de la Déclaration Préalable à l'Embauche (DPAE), la déclaration obligatoire que les employeurs effectuent pour chaque nouvelle embauche.
L'intrusion n'a pas visé directement les systèmes centraux de l'Urssaf. Les attaquants ont utilisé les identifiants volés d'un compte partenaire institutionnel habilité, dérobés lors d'une cyberattaque antérieure visant ce partenaire. À l'aide de ces identifiants, ils ont interrogé l'API DPAE et accédé aux données d'environ 12 millions de salariés embauchés depuis moins de trois ans.
Les données consultées et potentiellement exfiltrées se limitent à :
- Nom et prénom
- Date de naissance
- Siret de l'employeur
- Date d'embauche
L'Urssaf a précisé qu'aucun RIB ni numéro de Sécurité sociale n'a été exposé.
Dès la découverte de l'accès non autorisé, l'Urssaf a immédiatement suspendu le compte partenaire et l'accès à l'API concernée. Elle a notifié la CNIL (autorité de protection des données) ainsi que l'ANSSI (agence nationale de cybersécurité), et a indiqué renforcer sa sécurité en généralisant la double authentification pour les accès partenaires. Les salariés concernés ont été appelés à la vigilance face aux tentatives d'hameçonnage et d'usurpation d'identité exploitant les informations exposées.
Sources
- fuitesinfos.frhttps://fuitesinfos.fr/article/2026-01-19-urssaf-dpae
- 20minutes.frhttps://www.20minutes.fr/faits_divers/4196942-20260119-urssaf-victime-acces-frauduleux-donnees-12-millions-salaries-potentiellement-concernes
- urssaf.frhttps://www.urssaf.fr/accueil/actualites/acces-frauduleux-api-dpae.html
- next.inkhttps://next.ink/brief_article/nouvelle-fuite-de-donnees-a-lurssaf-12-millions-de-victimes-potentielles/