Le Secrétariat général de l'Enseignement catholique (Sgec) a été victime d'une cyberattaque le 21 mars 2026. Une application de gestion du premier degré a été compromise, exposant les données personnelles d'environ 1,5 million de personnes : élèves, familles et enseignants. Une déclaration a été déposée auprès de la CNIL.
Fuite de données Enseignement catholique : ce qu'il faut retenir et comment réagir
Le 21 mars 2026, une cyberattaque a visé une application interne utilisée par les établissements du premier degré sous tutelle du Sgec. Le périmètre touché comprend 800 000 élèves, leurs familles et 40 000 enseignants — soit environ 1,5 million de personnes. Les données exposées incluent noms, prénoms, dates de naissance, adresses postales, emails et numéros de téléphone. Le Sgec a suspendu les services concernés, signalé l'incident au ministère de l'Éducation nationale et déposé une déclaration auprès de la CNIL. Si vous êtes concerné, changez vos mots de passe immédiatement et restez vigilant face aux tentatives de phishing ciblé.
Que s'est-il passé ?
Le 21 mars 2026, une attaque informatique a visé une application interne utilisée par les établissements du premier degré sous tutelle du Sgec. L'accès non autorisé a permis d'exfiltrer des données administratives et personnelles à grande échelle.
Selon Stéphane Gouraud, secrétaire général adjoint, le périmètre touché comprend 800 000 élèves du premier degré, leurs familles, et 40 000 enseignants — soit 1,5 million de personnes au total.
🚨 À retenir : Cette fuite concerne principalement des mineurs (élèves du premier degré) et leurs familles, ce qui lui confère un niveau de gravité particulier au regard du RGPD. La présence de données relatives à des enfants renforce les obligations de notification et de protection pesant sur le Sgec, et peut influer sur le montant des indemnisations en cas d'action en responsabilité.
Quelles données ont été exposées ?
Les données compromises incluent :
- Nom et prénom
- Date de naissance
- Établissement et classe
- Adresse postale
- Adresse email
- Numéro de téléphone
Il n'est pas fait mention à ce stade de données financières ou de mots de passe en clair exposés.
La combinaison nom + prénom + date de naissance + établissement + coordonnées constitue un profil particulièrement exploitable pour du phishing ciblé, de l'usurpation d'identité ou des arnaques se faisant passer pour l'établissement scolaire. La présence de données concernant des mineurs aggrave le risque et renforce les droits à indemnisation des familles.
Quelles mesures ont été prises ?
Le Sgec indique avoir réagi rapidement : suspension des services concernés, sécurisation des accès, signalement au ministère de l'Éducation nationale et déclaration en cours auprès de la CNIL. Des experts en cybersécurité ont été mobilisés. Un courrier d'information a été adressé aux familles par Guillaume Prévost, secrétaire général.
👉 Le Sgec est-il responsable même s'il a été victime d'une cyberattaque ?
Oui. Le fait d'être victime d'une attaque n'exonère pas le responsable de traitement de ses obligations au titre du RGPD. La CNIL évalue les mesures de sécurité préalablement mises en place, la réactivité de l'organisation et les actions correctives engagées. Si des failles préexistantes sont identifiées, la responsabilité du Sgec est engagée au titre des articles 32 et 34 du RGPD.
Que devez-vous faire si vous êtes concerné ?
Si votre enfant est scolarisé dans un établissement catholique du premier degré, ou si vous y enseignez :
- Changez vos mots de passe sur tous les services où vous utilisez la même adresse email.
- Méfiez-vous des emails, SMS ou appels se réclamant de l'établissement ou du Sgec — les données volées peuvent servir à des tentatives de phishing ciblé.
- Signalez tout contact suspect à votre établissement.
- Si vous subissez un préjudice direct (usurpation d'identité, phishing abouti), vous pouvez déposer plainte et engager une procédure auprès de la CNIL.
Mon adresse email a-t-elle été compromise ?
Mon adresse email a-t-elle été compromise ?
Entrez votre adresse ci-dessous pour vérifier si elle apparaît dans une fuite de données connue.
Veuillez saisir une adresse email valide.
Puis-je obtenir réparation ?
En tant que personne physique dont les données ont été exposées sans consentement, vous bénéficiez des droits prévus par le RGPD.
- Exercer votre droit d'accès et de rectification auprès du Sgec
- Saisir la CNIL sur signal.cnil.fr si vous estimez que vos droits ne sont pas respectés
- Engager une action en responsabilité civile si vous justifiez d'un préjudice
👉 Puis-je obtenir une indemnisation sans avoir subi de préjudice concret ?
Oui. La jurisprudence européenne (CJUE, 14 décembre 2023) reconnaît que la simple perte de contrôle sur ses données personnelles constitue un préjudice moral indemnisable, sans qu'il soit nécessaire de prouver une fraude concrète. Les familles de mineurs dont les données ont été exposées sont également fondées à agir au nom de leurs enfants.
Information générale — pas un conseil juridique
Cet article est fourni à titre informatif et ne remplace pas un accompagnement juridique personnalisé. Pour toute situation engageant votre responsabilité, consultez un professionnel du droit.
Conclusion
La cyberattaque contre le Sgec illustre la vulnérabilité des systèmes de gestion scolaire face aux menaces informatiques. Avec 1,5 million de personnes concernées, dont une majorité de mineurs, cette fuite appelle une vigilance immédiate des familles et une réponse rigoureuse de l'organisation responsable du traitement. N'attendez pas d'être victime d'une fraude pour agir : vérifiez votre exposition, exercez vos droits et signalez tout incident à la CNIL.
Vous êtes concerné par cette fuite et souhaitez connaître vos droits ? Décrivez votre situation pour être mis en relation avec un avocat spécialisé en droit du numérique.
Blog
.png)
