Le 21 mars 2026, le Secrétariat général de l’enseignement catholique (Sgec) a été frappé par une cyberattaque massive. Les données personnelles d’environ 1,5 million de personnes ont été compromises. Parmi elles, 800 000 élèves, leurs familles et 40 000 enseignants du premier degré. Par son ampleur et par le profil des victimes, cette fuite constitue la plus importante jamais enregistrée en France concernant des mineurs.
Ce que l’on sait sur la cyberattaque contre l’enseignement catholique
Les pirates ont ciblé les systèmes informatiques du Sgec, l’organe qui coordonne le réseau des établissements catholiques sous contrat en France. Les informations dérobées comprennent les noms, prénoms, dates de naissance, adresses postales, emails et numéros de téléphone des élèves, de leurs parents et des enseignants. Aucune donnée financière ni mot de passe en clair ne semble avoir été touché à ce stade. Mais les investigations sont toujours en cours. Le Sgec n’a pas communiqué sur la méthode d’intrusion utilisée par les attaquants.
800 000 enfants dans la base de données volée
C’est le chiffre qui glace. Huit cent mille mineurs figurent dans les fichiers compromis. Des enfants scolarisés en maternelle et en primaire, dont certains ont à peine trois ans. Ces données permettent de les identifier, de les localiser et de contacter leurs familles. C’est exactement le type d’informations qu’exploitent les réseaux de phishing ciblé. Un email se faisant passer pour l’école, un SMS prétendant venir de la cantine, un appel mentionnant le nom de l’enfant. Les scénarios de manipulation sont nombreux et redoutablement efficaces quand ils visent des parents.
Enseignement catholique et RGPD, qui est responsable
Le fait d’être victime d’une attaque n’exonère pas le responsable du traitement. C’est ce que rappelle la CNIL à chaque incident de ce type. Le Sgec reste juridiquement tenu de garantir la sécurité des données qu’il collecte, conformément aux articles 32 et 34 du RGPD. Si des failles préexistantes sont identifiées dans ses systèmes, sa responsabilité sera directement engagée. La notification aux autorités a été effectuée. Mais les familles n’ont pas encore reçu d’information individuelle sur leur niveau d’exposition. Ce délai pose question.
Les bons réflexes pour les familles concernées
Si votre enfant est scolarisé dans un établissement catholique du premier degré, agissez maintenant. Changez les mots de passe associés à l’adresse email utilisée pour l’inscription scolaire. Ne répondez à aucun message se réclamant de l’école ou du Sgec sans vérification préalable. Appelez directement l’établissement en cas de doute. Surveillez les courriers inhabituels reçus au nom de votre enfant. Si vous constatez une utilisation frauduleuse de ces données, déposez plainte et signalez l’incident sur cybermalveillance.gouv.fr.
Comment signaler et faire valoir ses droits
Chaque parent peut exercer un droit d’accès auprès du Sgec pour savoir si les données de son enfant figurent dans les fichiers compromis. La demande peut être adressée par courrier ou par email au délégué à la protection des données de l’organisation. Les familles qui subissent un préjudice direct ont également la possibilité d’engager une action en justice, individuellement ou dans le cadre d’une action collective.
Des systèmes scolaires encore trop fragiles face aux attaques
Cette fuite met en lumière un problème structurel. Les systèmes de gestion scolaire en France restent sous-équipés en cybersécurité. Le réseau de l’enseignement catholique regroupe plus de 7 500 établissements. Mais les moyens consacrés à la protection des données ne sont pas à la hauteur du volume d’informations sensibles stockées. L’Éducation nationale elle-même a été touchée en 2025 par le groupe pro-russe Stormous, qui avait ciblé les plateformes Cyclades et ÉduConnect. Tant que les budgets IT du secteur éducatif resteront marginaux, les bases de données d’enfants continueront d’attirer les pirates.
Lire plus d’articles sur DigiTechnologie :
– La Mutuelle de France a été piratée, cliquez-ici
– Les données piratées du site ManoMano, cliquez-ici
– Les pitages de Cegedim, Ficoba et ManoMano, cliquez-ici