cyberattaque GAEL Éducation nationale données personnelles : La plateforme GAEL, utilisée par France Éducation International pour gérer les inscriptions et résultats des diplômes DELF et DALF, a subi une intrusion informatique entre le 9 et le 12 janvier 2026. L’ampleur de l’incident est considérable : les données personnelles de près de 5,8 millions de candidats et personnels ont été compromises.
Une intrusion par des identifiants valides, sans authentification renforcée
Selon les premières informations communiquées par France Éducation International, les attaquants ont exploité des identifiants valides issus de comptes externes. L’absence d’authentification multifactorielle (MFA) sur ces accès a permis aux pirates de pénétrer dans le système sans déclencher d’alerte. Cette faille de sécurité, pourtant bien identifiée dans les recommandations de l’ANSSI depuis plusieurs années, illustre le retard de nombreuses administrations dans la mise en place de mesures de protection élémentaires.
Les données compromises comprennent des informations relatives aux candidats aux diplômes DELF et DALF dans le monde entier : noms, prénoms, dates de naissance, nationalités, coordonnées et résultats aux examens. La base couvrant plusieurs années d’inscriptions, le volume de personnes touchées atteint un niveau rarement observé dans le secteur public français.
Les obligations de France Éducation International
En tant que responsable de traitement, France Éducation International est tenu de notifier la CNIL dans un délai de 72 heures après avoir pris connaissance de la violation (article 33 du RGPD). Compte tenu du volume exceptionnel de données compromises et de la présence probable de données de mineurs parmi les candidats au DELF scolaire, l’article 34 impose une communication individuelle aux personnes concernées.
La question de l’applicabilité extraterritoriale du RGPD se pose avec acuité, puisque les candidats aux DELF et DALF résident dans plus de 170 pays. Le règlement s’applique dès lors que le traitement concerne des données de personnes situées dans l’Union européenne ou que le responsable de traitement est établi dans l’UE, ce qui est le cas de France Éducation International.
L’absence de MFA, un manquement à l’article 32
L’article 32 du RGPD impose des mesures techniques appropriées au risque. L’authentification multifactorielle figure parmi les mesures recommandées par l’ANSSI et la CNIL pour tout système traitant des données personnelles à grande échelle. Son absence sur un système gérant 5,8 millions d’enregistrements constitue un défaut de sécurité que la CNIL pourrait qualifier de manquement.
La CNIL a rappelé à plusieurs reprises, notamment dans ses recommandations sur la sécurité des données de 2024, que le recours à la seule authentification par mot de passe est insuffisant pour les accès distants à des bases de données sensibles. L’implémentation du MFA est considérée comme une mesure de sécurité de base, proportionnée et accessible techniquement.
Un secteur éducatif sous pression
Cette attaque s’inscrit dans une série d’incidents touchant le secteur éducatif français au premier trimestre 2026. L’Enseignement catholique a également subi une intrusion exposant les données de 1,5 million de personnes, tandis que le système COMPAS du ministère de l’Éducation nationale a été compromis, affectant 243 000 agents. Ces incidents successifs révèlent une vulnérabilité systémique du secteur éducatif face aux cybermenaces.
Pour les établissements et organismes du secteur, la priorité est de généraliser l’authentification multifactorielle sur tous les accès distants, de réaliser des audits de sécurité réguliers et de mettre en place une journalisation permettant de détecter rapidement les accès anormaux. Les personnes potentiellement concernées sont invitées à surveiller tout usage suspect de leurs données personnelles.
Source : France Éducation International – Communiqué sur l’incident de sécurité de la plateforme GAEL
Questions fréquentes
Qu’est-ce que la plateforme GAEL et quelles données ont été compromises ?
GAEL est la plateforme de gestion des inscriptions et résultats des diplômes DELF et DALF. L’intrusion a exposé les données de 5,8 millions de candidats : noms, dates de naissance, nationalités, coordonnées et résultats d’examens.
Comment les pirates ont-ils accédé au système GAEL ?
Les attaquants ont exploité des identifiants valides issus de comptes externes. L’absence d’authentification multifactorielle (MFA) a permis de pénétrer le système sans déclencher d’alerte de sécurité.
Je suis candidat DELF/DALF, que dois-je faire ?
Changez vos mots de passe sur tout service où vous utilisiez les mêmes identifiants, surveillez vos comptes pour détecter toute activité suspecte et soyez vigilant face aux tentatives de phishing utilisant vos informations personnelles.
