Skip to content
Chaîne d’approvisionnementContenu

12 millions de salariés touchés par la fuite de données Urssaf DPAE

Le 19 janvier 2026, l'Urssaf a révélé un accès frauduleux à son API DPAE via un compte partenaire compromis, exposant les nom, prénom, date de naissance, Siret de l'employeur et date d'embauche d'environ 12 millions de salariés embauchés depuis moins de trois ans.

Victime
Urssaf — DPAE
données
12.0M

Le 19 janvier 2026, l'Urssaf — le réseau d'organismes chargé de collecter les cotisations sociales et familiales en France — a révélé un accès frauduleux à l'API de la Déclaration Préalable à l'Embauche (DPAE), la déclaration obligatoire que les employeurs effectuent pour chaque nouvelle embauche.

L'intrusion n'a pas visé directement les systèmes centraux de l'Urssaf. Les attaquants ont utilisé les identifiants volés d'un compte partenaire institutionnel habilité, dérobés lors d'une cyberattaque antérieure visant ce partenaire. À l'aide de ces identifiants, ils ont interrogé l'API DPAE et accédé aux données d'environ 12 millions de salariés embauchés depuis moins de trois ans.

Les données consultées et potentiellement exfiltrées se limitent à :

  • Nom et prénom
  • Date de naissance
  • Siret de l'employeur
  • Date d'embauche

L'Urssaf a précisé qu'aucun RIB ni numéro de Sécurité sociale n'a été exposé.

Dès la découverte de l'accès non autorisé, l'Urssaf a immédiatement suspendu le compte partenaire et l'accès à l'API concernée. Elle a notifié la CNIL (autorité de protection des données) ainsi que l'ANSSI (agence nationale de cybersécurité), et a indiqué renforcer sa sécurité en généralisant la double authentification pour les accès partenaires. Les salariés concernés ont été appelés à la vigilance face aux tentatives d'hameçonnage et d'usurpation d'identité exploitant les informations exposées.

Sources

  1. fuitesinfos.frhttps://fuitesinfos.fr/article/2026-01-19-urssaf-dpae
  2. 20minutes.frhttps://www.20minutes.fr/faits_divers/4196942-20260119-urssaf-victime-acces-frauduleux-donnees-12-millions-salaries-potentiellement-concernes
  3. urssaf.frhttps://www.urssaf.fr/accueil/actualites/acces-frauduleux-api-dpae.html
  4. next.inkhttps://next.ink/brief_article/nouvelle-fuite-de-donnees-a-lurssaf-12-millions-de-victimes-potentielles/

Incidents liés

Chaîne d’approvisionnementContenu

Police nationale : cyberattaque contre la plateforme e-campus, 176k agents touchés

Le 15 avril 2026, la Direction générale de la police nationale (DGPN) a confirmé le piratage mi-mars de sa plateforme de formation en ligne e-campus, gérée par un prestataire ; le groupe HexDex revendique 176 317 profils d'agents incluant noms, emails professionnels, localisations et historiques de connexion.

Victim
Police nationale
Records
176.3K