La Fédération française de rugby (FFR) fait face à l’une des plus importantes fuites de données du sport français. Mi-mars 2026, un pirate a revendiqué sur un forum spécialisé la mise en ligne d’une base contenant les informations personnelles de plus de 530 000 licenciés, couvrant la période 2003 à 2026. Les données auraient ensuite été diffusées sur le darknet.
Quelles données ont été compromises ?
Selon les premières analyses relayées par le site FrenchBreaches, la base piratée contiendrait des noms, prénoms, dates de naissance, adresses postales, adresses e-mail, numéros de téléphone, numéros de sécurité sociale et professions des licenciés. Plus préoccupant encore : près de 950 copies de pièces d’identité et plusieurs centaines de milliers de photographies de joueurs, dont des mineurs, figureraient dans le lot.
La présence de données relatives à des enfants confère à cet incident une gravité particulière au regard de l’article 8 du RGPD, qui impose des garanties renforcées pour le traitement des données des mineurs.
La réaction de la FFR
Dans un communiqué publié peu après la révélation de l’incident, la FFR a confirmé avoir été la cible d’une attaque. La fédération a indiqué avoir déposé plainte et saisi les autorités compétentes, notamment la CNIL et les services spécialisés de l’État.
La FFR a toutefois qualifié l’attaque de « campagne de phishing ciblant certains licenciés », en précisant qu’il n’y aurait pas eu d’intrusion directe dans ses systèmes informatiques. Cette version est contestée par plusieurs experts en cybersécurité, qui estiment que le volume et la nature des données compromises, notamment les copies de pièces d’identité, supposent un accès bien plus profond aux systèmes d’information de la fédération.
Les obligations du responsable de traitement
En tant que responsable de traitement au sens de l’article 4 du RGPD, la FFR est tenue de notifier la CNIL dans un délai de 72 heures après avoir pris connaissance de la violation, conformément à l’article 33 du RGPD. Lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, l’article 34 impose également une communication directe aux personnes concernées.
Compte tenu de la nature des données en jeu (numéros de sécurité sociale, copies de pièces d’identité, données de mineurs), le risque d’usurpation d’identité et de fraude est très élevé. Les 530 000 licenciés concernés devraient être informés individuellement des mesures à prendre pour se protéger.
Que faire si vous êtes concerné ?
Si vous êtes ou avez été licencié à la FFR entre 2003 et 2026, plusieurs précautions s’imposent. Changez immédiatement le mot de passe de votre compte FFR ainsi que de tout autre service où vous utiliseriez le même identifiant. Surveillez vos relevés bancaires et vos comptes en ligne pour détecter toute activité suspecte. En cas de doute, vous pouvez déposer une pré-plainte en ligne sur le site du ministère de l’Intérieur et signaler l’incident sur la plateforme cybermalveillance.gouv.fr.
Si vos pièces d’identité figurent parmi les documents compromis, envisagez de demander un renouvellement anticipé de votre carte nationale d’identité ou de votre passeport auprès de votre mairie.
Un signal d’alarme pour le monde sportif
Cette fuite met en lumière la vulnérabilité des fédérations sportives françaises face aux cybermenaces. Ces organismes traitent des volumes considérables de données personnelles, y compris celles de mineurs, sans toujours disposer de moyens de protection proportionnés. La CNIL avait déjà alerté sur ce sujet dans ses recommandations de 2024 relatives aux traitements de données dans le secteur associatif et sportif.
Cet incident rappelle que toute organisation traitant des données personnelles à grande échelle doit mettre en place des mesures techniques et organisationnelles conformes à l’article 32 du RGPD : chiffrement des données sensibles, contrôle strict des accès, journalisation des opérations et tests réguliers de sécurité.
Source : Communiqué officiel de la Fédération Française de Rugby
Questions fréquentes
Quelles données ont été volées lors du piratage de la FFR ?
Les données compromises concernent plus de 530 000 licenciés et incluent noms, prénoms, dates de naissance, adresses postales et électroniques, numéros de téléphone et informations liées à la licence sportive.
Que faire si je suis licencié FFR et potentiellement concerné ?
Changez immédiatement vos mots de passe sur tous les services où vous utilisiez les mêmes identifiants, surveillez vos comptes pour détecter toute activité suspecte et restez vigilant face aux tentatives de phishing ciblé.
