Le 3 mars 2026, un cybercriminel a mis en vente 1,4 million de bons de commande Florajet, couvrant la période 2023-2026. Noms, adresses, téléphones, détails d'achat et messages personnels d'accompagnement figurent dans les données exposées. Que dit la loi ? Quels sont vos droits ? Voici ce qu'il faut savoir et faire si vous êtes concerné.
Fuite de données Florajet : ce qu'il faut retenir et comment réagir
Le service de livraison de fleurs Florajet a été victime d'un piratage confirmé début mars 2026. Un cybercriminel revendique l'exfiltration de 1 457 473 commandes (136 Go), comprenant environ 952 000 numéros de téléphone uniques et 1,2 million d'adresses postales complètes. Les données exposées incluent les noms, prénoms, coordonnées, détails d'achat et messages personnels d'accompagnement joints aux livraisons — des informations à caractère intime. Le RGPD impose à Florajet de notifier la CNIL sous 72 heures et d'informer les personnes concernées si le risque est élevé. Les victimes peuvent exercer leur droit d'accès, déposer plainte auprès de la CNIL et engager une action en réparation du préjudice subi — y compris pour préjudice moral, sans avoir à prouver de fraude concrète.
Le piratage Florajet : faits et chronologie
Florajet est un réseau français de transmission florale en ligne, permettant aux clients de commander des bouquets, plantes et cadeaux livrés par des fleuristes partenaires à travers la France.
Chronologie de l'incident
3 mars 2026 — Un hacker revendique sur un forum spécialisé la mise en vente d'une base de données contenant 1 457 473 bons de commande Florajet, pour un volume total de 136 Go. La fuite couvre les commandes passées entre 2023 et 2026.
3 mars 2026 (dans la journée) — L'expert en cybersécurité SaxX (Clément Domingo) confirme publiquement la fuite et en détaille le contenu, relayé par plusieurs médias spécialisés. Le site de veille des fuites de données françaises classe l'incident en fuite confirmée avec présence de données sensibles.
5 mars 2026 — L'incident est repris par TF1 et les médias nationaux. Les experts soulignent la présence de messages personnels intimes dans la base, aggravant la gravité de la fuite.
Les chiffres clés
Piratage Florajet — synthèse de l'incident
| Élément |
Chiffre / Information |
| Commandes exposées |
1 457 473 |
| Volume de données |
136 Go |
| Téléphones uniques |
952 000 |
| Adresses postales |
1,2 million |
| Période couverte |
2023 à 2026 |
| Date de révélation |
3 mars 2026 |
| Statut |
Confirmée |
Mode opératoire : la faille de la chaîne de sous-traitance
Selon les premières analyses relayées par les experts en cybersécurité, la compromission serait liée à la fuite d'identifiants d'une fleuriste partenaire du réseau Florajet. Ce mode opératoire illustre un problème récurrent dans les cyberattaques récentes : la sécurité d'une plateforme dépend de celle de l'ensemble de sa chaîne de sous-traitance. Un seul maillon faible — un mot de passe compromis, un accès non sécurisé — peut exposer des millions de données.
Ce vecteur d'attaque rappelle d'autres incidents récents en France, où la compromission d'un prestataire ou d'un sous-traitant a permis l'accès à la base de données principale. Le RGPD impose au responsable de traitement (ici Florajet) de s'assurer que ses sous-traitants respectent un niveau de sécurité adéquat — un manquement à cette obligation engage sa responsabilité.
Nature des données exposées
Les informations exposées comprennent les noms et prénoms des expéditeurs et destinataires, les numéros de téléphone (952 000 numéros uniques), les adresses postales complètes (1,2 million d'adresses), les détails des achats effectués (nature du produit, montant, date), ainsi que les messages personnels d'accompagnement rédigés par les clients pour accompagner leurs envois de fleurs.
Données exposées et risques associés
| Catégorie |
Données exposées |
Risque principal |
| Identité |
Nom, prénom (expéditeur + destinataire) |
Usurpation d'identité |
| Coordonnées |
Téléphone, adresse postale complète |
Phishing, démarchage abusif |
| Achats |
Produit, montant, date de commande |
Reconstitution de profil, arnaque ciblée |
| Messages intimes |
Messages d'accompagnement personnels |
Atteinte à la vie privée, chantage |
🚨 Pourquoi cette fuite est particulièrement sensible
Les messages d'accompagnement joints aux livraisons de fleurs sont par nature intimes et personnels : déclarations d'amour, condoléances, excuses, messages pour des occasions privées. Leur exposition publique constitue une atteinte grave à la vie privée, bien au-delà d'une fuite classique de coordonnées. Selon les informations relayées par les experts en cybersécurité, certaines commandes auraient même été livrées à des adresses institutionnelles sensibles. Le caractère émotionnel et contextuel de ces données aggrave considérablement le préjudice potentiel pour les personnes concernées — et peut faciliter des actes de chantage ou de manipulation, en particulier lorsque les messages révèlent des relations privées ou des situations de vulnérabilité.
Ce que dit le RGPD : obligations de Florajet
Le Règlement Général sur la Protection des Données (RGPD) impose des obligations strictes aux responsables de traitement en cas de violation de données personnelles.
Notification à la CNIL sous 72 heures
L'article 33 du RGPD impose au responsable de traitement de notifier toute violation de données à la CNIL dans un délai de 72 heures après en avoir pris connaissance, dès lors qu'il existe un risque pour les droits et libertés des personnes. Le non-respect de ce délai constitue un manquement supplémentaire pouvant alourdir les sanctions.
Information des personnes concernées
L'article 34 du RGPD impose en outre d'informer directement les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Compte tenu de la nature des données exposées (coordonnées complètes, messages intimes, habitudes d'achat), cette obligation d'information paraît difficilement contestable dans le cas Florajet.
Responsabilité liée à la chaîne de sous-traitance
L'article 28 du RGPD impose au responsable de traitement de s'assurer que ses sous-traitants présentent des garanties suffisantes en matière de sécurité des données. Si la compromission est bien liée à la fuite d'identifiants d'une fleuriste partenaire, la question de la sécurisation des accès distribués au réseau de partenaires se pose directement. Florajet, en tant que plateforme centrale collectant les données clients, reste responsable de la sécurité de l'ensemble de la chaîne.
La CNIL peut imposer à Florajet d'informer les personnes concernées si elle constate que cette information n'a pas été correctement réalisée. Les sanctions prévues par le RGPD en cas de manquement peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise. Pour rappel, la CNIL a récemment sanctionné Free Mobile à hauteur de 42 millions d'euros pour une violation similaire.
Vos droits en tant que victime et votre droit à indemnisation
Si vous avez passé commande sur Florajet entre 2023 et 2026, vos données sont potentiellement concernées par cette fuite. Le RGPD vous confère plusieurs droits que vous pouvez exercer immédiatement.
Droit d'accès et droit à l'information
Vous pouvez interroger Florajet pour savoir si vos données figurent parmi celles qui ont été compromises. L'article 15 du RGPD vous garantit un droit d'accès à vos données personnelles. Florajet doit vous répondre dans un délai d'un mois à compter de votre demande.
Droit à l'effacement
L'article 17 du RGPD vous permet de demander la suppression de vos données personnelles lorsque celles-ci ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées. Si votre commande date de plusieurs années et que la relation commerciale est terminée, ce droit peut être exercé.
Plainte auprès de la CNIL
Si Florajet ne vous a pas informé de la fuite, ou si vous estimez que vos données n'ont pas été suffisamment protégées, vous pouvez déposer une plainte auprès de la CNIL en ligne sur signal.cnil.fr. La CNIL est l'autorité compétente pour contrôler le respect du RGPD et peut ouvrir une enquête sur les mesures de sécurité mises en place par l'entreprise.
Votre droit à indemnisation : l'article 82 RGPD
L'article 82 du RGPD prévoit un droit à réparation pour toute personne ayant subi un dommage matériel ou moral du fait d'une violation du règlement. La jurisprudence européenne est établie : la simple perte de contrôle sur ses données personnelles constitue un préjudice moral indemnisable, sans qu'il soit nécessaire de prouver une fraude ou un dommage concret (CJUE, 14 décembre 2023, Natsionalna agentsia).
Les indemnisations accordées par les tribunaux français varient généralement entre 500 € et 3 000 € par personne pour des données administratives standards. En présence de messages personnels intimes — comme c'est le cas ici —, le préjudice peut justifier une indemnisation supérieure, en particulier si la victime peut démontrer un impact concret sur sa vie privée.
👉 Peut-on obtenir une indemnisation sans preuve de préjudice financier ?
Oui. La Cour de justice de l'Union européenne a confirmé que le préjudice moral résultant d'une violation de données personnelles est indemnisable au titre de l'article 82 du RGPD (CJUE, 14 décembre 2023). L'anxiété liée à la perte de contrôle sur ses données, la crainte d'usurpation d'identité ou l'atteinte à la vie privée constituent des préjudices reconnus. En France, les tribunaux accordent généralement entre 500 € et 3 000 € par personne pour des données standards — davantage en cas de données sensibles ou intimes.
Les risques concrets pour les personnes exposées
Une fuite de cette ampleur expose les victimes à plusieurs risques identifiés par la CNIL et par Cybermalveillance.gouv.fr.
Hameçonnage ciblé (phishing)
Les cybercriminels disposent désormais de suffisamment d'informations pour construire des messages frauduleux personnalisés. Un email mentionnant votre nom, votre adresse et une commande de fleurs récente sera beaucoup plus convaincant qu'un spam générique. Le risque de phishing ciblé est le danger le plus immédiat.
Usurpation d'identité
La combinaison nom + adresse + téléphone constitue un socle suffisant pour tenter une usurpation d'identité : ouverture de comptes frauduleux, souscription de crédits, détournement de courrier. Ce risque est aggravé par le volume de la fuite (952 000 numéros uniques). Pour en savoir plus sur les réflexes à adopter, consultez notre article sur comment réagir en cas d'usurpation d'identité.
Atteinte à la vie privée
Les messages personnels d'accompagnement révèlent des informations sur les relations privées des expéditeurs : l'identité du destinataire, la nature de la relation, le contexte émotionnel de l'envoi. Ces informations pourraient être exploitées à des fins de chantage, de harcèlement ou de manipulation, en particulier lorsque les messages trahissent des relations extraconjugales ou des situations de vulnérabilité.
🚨 Démarchage téléphonique abusif
Avec 952 000 numéros de téléphone uniques, cette base de données a une valeur commerciale immédiate pour les réseaux de démarchage abusif et les arnaques téléphoniques. Si vous constatez une recrudescence d'appels non sollicités après cette fuite, inscrivez-vous sur Bloctel (bloctel.gouv.fr) et signalez les numéros sur 33700.fr.
Démarches pas à pas : se protéger et obtenir réparation
Étape 1 — Contactez Florajet
Confirmez si vos données sont concernées par la fuite. Exercez votre droit d'accès (article 15 du RGPD) par courrier recommandé ou email au service client. L'entreprise doit vous répondre sous un mois. Demandez précisément quelles données vous concernant figurent dans la base compromise.
Étape 2 — Renforcez votre vigilance immédiatement
Ne cliquez sur aucun lien suspect dans un email ou SMS mentionnant une commande de fleurs, un problème de livraison ou un remboursement. Vérifiez toujours l'adresse de l'expéditeur et connectez-vous directement sur le site officiel du service concerné. Les tentatives de phishing exploitant cette fuite ont probablement déjà commencé.
Étape 3 — Changez vos mots de passe
Si vous utilisiez le même mot de passe sur Florajet que sur d'autres services, changez-le immédiatement partout. Activez l'authentification à deux facteurs sur vos comptes bancaires, votre messagerie et tout service sensible.
Étape 4 — Signalez à la CNIL
Déposez un signalement sur signal.cnil.fr en indiquant que vous êtes victime d'une violation de données liée au piratage de Florajet (mars 2026). Ce signalement constitue un élément de preuve utile si vous engagez une action en indemnisation.
Étape 5 — Surveillez vos comptes
Surveillez vos comptes bancaires et vos relevés pendant les semaines à venir. Signalez immédiatement toute opération suspecte à votre banque. Si vous recevez des courriers physiques suspects à votre adresse, conservez-les comme preuves.
Étape 6 — Déposez plainte si nécessaire
En cas d'utilisation frauduleuse de vos données, conservez toutes les preuves (captures d'écran, messages, courriers) et déposez plainte au commissariat ou à la gendarmerie, ou par écrit au procureur de la République. Un accompagnement par un avocat spécialisé en droit du numérique peut s'avérer utile pour maximiser vos chances d'obtenir réparation, notamment si des messages personnels intimes vous concernant ont été exposés.
Consultez le site Cybermalveillance.gouv.fr pour obtenir des conseils personnalisés et accéder à des prestataires de proximité en cas de dommages causés par une cyberattaque.
Le contexte : une France sous le feu des cyberattaques
La fuite Florajet s'inscrit dans un contexte de multiplication des violations de données en France. Début 2026, les experts en cybersécurité recensent plus de 300 fuites signalées concernant des entreprises et organismes français. En janvier et février 2026, plus de 60 millions d'enregistrements ont été exposés dans des incidents touchant des secteurs aussi variés que la banque, la santé, l'emploi, le commerce en ligne et les services publics.
Parmi les fuites majeures récentes : le piratage Cegedim / MonLogicielMedical (15 millions de patients, données médicales sensibles), la fuite UnisCité (80 000 personnes, CNI et documents officiels), Free Mobile (plusieurs millions d'abonnés, sanctionné de 42 millions d'euros par la CNIL), ou encore France Travail (43 millions de personnes potentiellement exposées).
👉 Comment savoir si mes données ont déjà fuité dans d'autres incidents ?
Plusieurs outils permettent de vérifier si votre adresse email ou votre numéro de téléphone figurent dans des bases de données compromises. Le plus connu est Have I Been Pwned (haveibeenpwned.com). En France, la CNIL recommande également de consulter le site Cybermalveillance.gouv.fr en cas de doute. Attention : ne communiquez jamais vos mots de passe sur ces plateformes — seule l'adresse email ou le numéro de téléphone sont nécessaires pour la vérification.
Récapitulatif : droits des victimes et obligations de l'entreprise
Fuite Florajet : obligations et droits selon le RGPD
| Obligation / Droit |
Qui |
Détails |
| Notification CNIL |
Florajet |
Sous 72 heures (article 33 RGPD) |
| Information des personnes |
Florajet |
Si risque élevé — ici très probable (article 34 RGPD) |
| Sécurité des sous-traitants |
Florajet |
Garanties de sécurité des partenaires (article 28 RGPD) |
| Droit d'accès |
Victime |
Demander si vos données sont concernées (article 15) |
| Droit à l'effacement |
Victime |
Demander la suppression de vos données (article 17) |
| Plainte CNIL |
Victime |
En ligne sur signal.cnil.fr |
| Action en réparation |
Victime |
Préjudice moral indemnisable — 500 € à 3 000 € (article 82 RGPD) |
| Dépôt de plainte pénale |
Victime |
En cas d'utilisation frauduleuse des données |
👉 Florajet peut-il être sanctionné même s'il est lui-même victime du piratage ?
Oui. Le fait d'être victime d'une cyberattaque n'exonère pas le responsable de traitement de ses obligations au titre du RGPD. La CNIL évalue la gravité de l'incident, les mesures de sécurité préalablement mises en place, la réactivité de l'entreprise et les actions correctives engagées. Si des failles de sécurité préexistantes sont identifiées — ce qui semble être le cas puisque la compromission serait liée à la fuite d'identifiants d'un partenaire — la responsabilité de Florajet est engagée au titre des articles 28 et 32 du RGPD.
🚨 En résumé
La fuite de données Florajet expose potentiellement plus d'un million de personnes à des risques de phishing ciblé, d'usurpation d'identité et d'atteinte à la vie privée. Le RGPD confère aux victimes des droits clairs : accès, effacement, plainte CNIL et action en réparation (entre 500 € et 3 000 € pour des données standards, potentiellement davantage pour les messages intimes). L'entreprise, même victime du piratage, reste responsable de la sécurité des données qu'elle collecte. En cas de doute sur l'exposition de vos données, n'attendez pas : contactez Florajet, renforcez votre vigilance et, si nécessaire, déposez plainte.
Information générale — pas un conseil juridique
Cet article est fourni à titre informatif et ne remplace pas un conseil juridique personnalisé. Pour toute situation engageant votre responsabilité, consultez un avocat.
Blogs
.png)
.png)
