Enseignement catholique : une cyberattaque : Le Secrétariat général de l’Enseignement catholique (SGEC) a confirmé avoir été victime d’une cyberattaque le 21 mars 2026. Une application de gestion du premier degré a été compromise, exposant les données personnelles de 800 000 élèves, de leurs familles et de 40 000 enseignants. Au total, environ 1,5 million de personnes sont concernées.
Des données sensibles dans la nature
L’attaque a ciblé une application de gestion administrative utilisée par les établissements du premier degré de l’Enseignement catholique. Les informations compromises comprennent les noms, prénoms, adresses postales, adresses électroniques, numéros de téléphone et dates de naissance des élèves, de leurs parents et des enseignants.
Ce type de données, lorsqu’il concerne des mineurs, revêt un caractère particulièrement préoccupant. L’exploitation de ces informations peut prendre des formes multiples : tentatives de hameçonnage ciblé, usurpation d’identité, ou encore escroqueries se faisant passer pour l’établissement scolaire de l’enfant. Le lien de confiance entre l’école et les familles offre un levier de manipulation redoutable pour les attaquants.
La réponse du SGEC et les obligations réglementaires
Le SGEC a indiqué avoir réagi rapidement après la détection de l’incident. Les accès ont été sécurisés, les services touchés suspendus, et un signalement a été effectué auprès du ministère de l’Éducation nationale et de la CNIL.
L’article 33 du RGPD impose au responsable de traitement de notifier toute violation de données à l’autorité de contrôle dans un délai de 72 heures. Lorsque la violation présente un risque élevé pour les droits et libertés des personnes, l’article 34 exige leur information directe. En l’espèce, le SGEC a adressé un courrier aux familles, les invitant à modifier leurs mots de passe et à se montrer vigilantes face aux tentatives de hameçonnage.
Un signal d’alerte pour le secteur éducatif
Cette attaque rappelle que le secteur éducatif, public comme privé, constitue une cible de choix pour les cybercriminels. Les volumes de données traitées sont considérables, les systèmes d’information souvent vieillissants, et les budgets consacrés à la cybersécurité limités.
Le RGPD impose pourtant les mêmes exigences de sécurité à tous les responsables de traitement, quelle que soit leur taille ou leur secteur. L’article 32 exige des mesures techniques et organisationnelles adaptées au niveau de risque. Pour un organisme traitant les données de centaines de milliers de mineurs, le niveau d’exigence est élevé.
Les DPO du secteur éducatif doivent tirer les enseignements de cet incident : auditer les applications de gestion en place, vérifier les dispositifs de contrôle d’accès, mettre à jour les procédures de gestion des violations de données, et s’assurer que les plans de continuité d’activité prévoient ce type de scénario.
Conseils aux familles concernées
Les personnes potentiellement touchées par cette fuite doivent modifier sans attendre les mots de passe associés aux adresses électroniques compromises. Il convient de surveiller attentivement les courriels, SMS et appels téléphoniques se réclamant de l’établissement scolaire, et de ne jamais cliquer sur un lien reçu par message sans en avoir vérifié l’origine. En cas de doute, contacter directement l’école par les canaux habituels.
Source initiale : Secrétariat général de l’Enseignement catholique / AFP
