Fuite de données Parcoursup : 705 000 candidats d'Occitanie concernés
Accueilbreadcrumb arrowBlogbreadcrumb arrowDroit du numériquebreadcrumb arrowProtection des données & vie privéebreadcrumb arrowFuite de données Parcoursup : 705 000 candidats d'Occitanie concernés

Fuite de données Parcoursup : 705 000 candidats d'Occitanie concernés

27 avril 2026
5 minutes
Droit du numérique
author image
Annabelle Catrycke

Juriste en entreprise, Annabelle suit pour le-droit.fr l'actualité des violations de données et vulgarise les droits ouverts par le RGPD.

Le 23 avril 2026, le ministère de l'Enseignement supérieur a confirmé une fuite de données touchant la plateforme Parcoursup. Environ 705 000 candidats des sessions 2023 et 2025, résidant en Occitanie ou y ayant formulé des vœux, sont concernés. L'attaque, survenue en octobre 2025, a été détectée à la suite d'un signalement en mars 2026. La CNIL a été notifiée et une plainte a été déposée auprès du parquet de Paris.

Suis-je concerné par la fuite de données Parcoursup ?

Vous êtes potentiellement concerné si vous avez candidaté sur Parcoursup lors de la session 2023 ou 2025 en résidant en Occitanie ou en y ayant formulé au moins un vœu. Le ministère indique que les candidats concernés seront notifiés directement. En attendant, soyez vigilant face à tout message évoquant votre dossier Parcoursup, votre scolarité ou votre statut boursier.

Comment l'attaque s'est-elle déroulée ?

L'incident repose sur une connexion frauduleuse réalisée par subtilisation des accès légitimes d'agents de la région académique d'Occitanie au module de gestion des données Parcoursup. Les accès ayant été effectués avec des identifiants légitimes, la détection immédiate s'est avérée difficile. L'exfiltration des données a eu lieu en octobre 2025 et n'a été signalée qu'en mars 2026, soit plus de cinq mois après les faits.

🚨 À retenir : Les données exfiltrées incluent des informations particulièrement sensibles pour les candidats mineurs : lien de parenté et catégorie socio-professionnelle des responsables légaux. Ces informations, combinées à l'identité et aux coordonnées, constituent un profil particulièrement riche pour des campagnes de phishing ciblées.

Quelles données ont été volées ?

CatégorieDonnées exposées
IdentitéNom, prénom, nationalité (française, UE ou hors UE), date de naissance
CoordonnéesAdresse postale, adresse e-mail, numéro de téléphone
ScolaritéInformations sur la scolarité, statut boursier, parcours de formation
Mineurs uniquementLien de parenté, catégorie socio-professionnelle des responsables légaux

Le ministère a précisé que les pièces jointes et documents transmis dans le cadre des démarches ne sont pas concernés par la fuite.

Quels sont les risques concrets ?

La combinaison de données d'identité, de coordonnées, de statut boursier et de parcours de formation constitue un profil idéal pour des attaques par ingénierie sociale ciblées sur des étudiants ou des lycéens. Les risques principaux sont :

  • Phishing se faisant passer pour le ministère, un établissement d'enseignement ou un organisme de bourses
  • Usurpation d'identité facilitée par la richesse du profil disponible
  • Escroqueries ciblées exploitant le statut boursier ou le parcours de formation
  • Pour les mineurs : exploitation des données des responsables légaux

👉 Pourquoi la fuite n'a-t-elle été détectée que 5 mois après ?

L'attaque reposait sur l'utilisation d'identifiants légitimes compromis, ce qui la rendait difficile à distinguer d'une utilisation normale du système. Ce type d'intrusion, appelé « credential stuffing » ou usurpation de compte, est l'une des formes d'attaque les plus difficiles à détecter sans surveillance comportementale avancée.

Mesures prises par le ministère

Le ministère a immédiatement mis en place des mesures de sécurisation :

  • Anonymisation du module de gestion affecté pour toutes les sessions, y compris la session 2026
  • Révision de l'ensemble des identifiants et mots de passe
  • Durcissement des conditions d'accès au système
  • Notification à la CNIL, notification aux personnes concernées et dépôt d'une plainte auprès du parquet de Paris

La session 2026 de Parcoursup est en cours. Le ministère assure que les données de la session 2026 ne sont pas concernées par cette fuite. Pour cette session, un nouveau dispositif d'accès au module de gestion concerné a été mis en place — révocation des comptes existants, refonte des identifiants et durcissement de l'authentification — afin que les accès compromis ne puissent plus être réutilisés.

Que faire si vous êtes concerné ?

  • Attendez la notification du ministère si vous avez candidaté en Occitanie en 2023 ou 2025
  • Soyez vigilant face à tout message évoquant votre dossier Parcoursup, votre statut boursier ou votre formation
  • Ne communiquez jamais vos identifiants Parcoursup ou MonCompteFormation par téléphone ou e-mail
  • Signalez toute tentative de phishing sur cybermalveillance.gouv.fr
  • Déposez plainte si vous êtes victime d'une usurpation d'identité ou d'une escroquerie

Quels recours juridiques ?

Si vous subissez un préjudice direct lié à cette fuite (usurpation d'identité, escroquerie, discrimination liée au statut boursier exposé), plusieurs voies sont disponibles :

  • Plainte pénale pour usurpation d'identité (article 226-4-1 du Code pénal)
  • Saisine de la CNIL pour violation du RGPD
  • Action en responsabilité contre l'État pour manquement à l'obligation de sécurisation des données (article 32 RGPD)
  • Recours en indemnisation du préjudice subi devant le tribunal administratif

Vous avez été victime d'une escroquerie ou d'une usurpation d'identité suite à cette fuite ? Décrivez votre situation pour être mis en relation avec un avocat spécialisé en droit du numérique.

Information générale — pas un conseil juridique

Cet article est fourni à titre informatif et peut se substituer à un conseil juridique personnalisé. Pour toute situation engageant votre responsabilité, consultez un avocat.

Les questions des internautes

Suis-je concerné par la fuite de données Parcoursup d'avril 2026 ?

Vous êtes potentiellement concerné si vous avez candidaté sur Parcoursup lors de la session 2023 ou 2025 en résidant en Occitanie ou en y ayant formulé au moins un vœu. Le ministère a indiqué que les candidats concernés seraient notifiés directement. En attendant, restez vigilant face à tout message évoquant votre dossier Parcoursup, votre scolarité ou votre statut boursier.

Quelles données ont été volées dans la fuite Parcoursup ?

Les données exposées comprennent l'identité (nom, prénom, nationalité, date de naissance), les coordonnées (adresse postale, e-mail, téléphone) et des informations de scolarité (statut boursier, parcours de formation). Pour les candidats mineurs, le lien de parenté et la catégorie socio-professionnelle des responsables légaux sont également concernés. Les pièces jointes ne sont pas concernées par la fuite.

Pourquoi la fuite Parcoursup n'a-t-elle été détectée que 5 mois après ?

L'attaque reposait sur l'utilisation d'identifiants légitimes compromis (subtilisation des accès d'agents de la région académique d'Occitanie), ce qui la rendait difficile à distinguer d'une utilisation normale du système. Ce type d'intrusion par usurpation d'accès est l'une des formes d'attaque les plus difficiles à détecter sans surveillance comportementale avancée.

Quels recours juridiques après la fuite de données Parcoursup ?

Si vous subissez un préjudice direct (usurpation d'identité, escroquerie), plusieurs voies sont disponibles : plainte pénale pour usurpation d'identité (article 226-4-1 du Code pénal), saisine de la CNIL pour violation du RGPD, action en responsabilité contre l'État pour manquement à l'obligation de sécurisation des données (article 32 RGPD) et recours en indemnisation du préjudice subi devant le tribunal administratif.

Les données de la session 2026 de Parcoursup sont-elles concernées par la fuite ?

Non. Le ministère a confirmé que les données de la session 2026 de Parcoursup, en cours, ne sont pas concernées par cette fuite. Pour cette session, un nouveau dispositif d'accès au module de gestion concerné a été mis en place — révocation des comptes existants, refonte des identifiants et durcissement de l'authentification — afin que les accès compromis ne puissent plus être réutilisés.

Articles similaires

article card imageDroit du numérique
Par
Oriane Levoux
April 21, 2026
2026-04-21
6 minutes

Fuite de données Lovable : vibe coding, CVE critique et vos recours RGPD

La plateforme Lovable a confirmé une fuite majeure (CVSS 9,3). Code, credentials et données clients exposés. Ce que vous devez faire sous RGPD.

Protection des données & vie privée
article card imageDroit du numérique
Par
Oriane Levoux
April 21, 2026
2026-04-21
5 minutes

ANTS (France Titres) : fuite de données, 19 millions de Français concernés ?

L’ANTS (France Titres) a été victime d’une cyberattaque. Données exposées, risques réels et recours pour les usagers concernés.

Protection des données & vie privée
article card imageDroit du numérique
Par
Oriane Levoux
April 14, 2026
2026-04-14
6 minutes

Fuite de données Basic-Fit : 1 million de membres touchés, combien pouvez-vous obtenir ?

Fuite Basic-Fit : 1 million de membres touchés, données bancaires exposées. Montant réaliste des indemnisations, juridiction compétente et recours concrets.

Protection des données & vie privée

Accédez à des documents juridiques personnalisés et trouver rapidement les informations dont vous avez besoin. Accessible et pratique, le-droit.fr vous accompagne pour gagner du temps et sécuriser vos démarches en toute sérénité.

Autres articles

article card image
par
Oriane Levoux
April 25, 2026
2026-04-25

Retrait de l’autorité parentale : conditions, procédure et effets

article card image
par
Oriane Levoux
April 25, 2026
2026-04-25

Charges de copropriété impayées : recours et procédures

article card image
par
Oriane Levoux
April 23, 2026
2026-04-25

Contester une décision d’assemblée générale de copropriété

Besoin d'aide ?

Notre comité d'expert regroupant 383 avocats partout en France vous répond en -24h

Besoin d'aide ?

J'AI BESOIN D'AIDE

Posez vos questions à un avocat

être mis en relation rapidement

Menu
AccueilAuteursBlogsContactConfidentialitéMentions Légales
Categories
Droit du numérique
Démarches administratives
Droit des assurances
Droit de l'immigration
Droit de la famille
Droit de la consommation
Droit du travail
Procédure
Compliance
Droit de l'environnement
Droit social
Droit commercial et des affaires
Droit civil
Droit fiscal
Droit des transports
Droit immobilier
Droit pénal
Sous-catégories
Malfaçons & garantie décennale
Vente immobilière
Logement décent & obligations bailleur
Loyers & encadrement
Copropriété
Conducteur non assuré & FGAO
Amendes administratives
Preuves & enquêtes privées
Procédure pénale
Procédure pénale
Honoraires & aide juridictionnelle
Harcèlement au travail
Litiges & contentieux du travail
Successions & héritages
Pension alimentaire & obligations parentales
Nous suivre
facebooktwitterinstagramlinkedin
©2026 le-droit.fr
par Refmax
Bot juridique
Réponse instantanée
Bot juridique
Bonjour,
Je maîtrise 1,2 million de textes juridiques. Puis-je vous aider ?
Echanger avec l'IA
Contacter un avocat