La plateforme française de e-commerce spécialisée dans le bricolage et le jardinage, ManoMano, a informé ses clients fin janvier 2026 d’une violation de données personnelles survenue via l’un de ses sous-traitants de service client. L’incident, qui illustre une fois de plus la vulnérabilité des chaînes de sous-traitance numérique, pourrait concerner jusqu’à 37,8 millions de comptes selon les revendications d’un pirate sur le dark web.
La violation de données chez ManoMano est un cas d’école à double lecture. D’un côté, la réponse de l’entreprise en matière de communication et de transparence mérite d’être saluée. De l’autre, l’incident rappelle une vérité que tout DPO connaît bien : la chaîne de confiance numérique n’est jamais plus solide que son maillon le plus faible. Tant que les audits de sécurité des sous-traitants ne seront pas systématiquement intégrés dans la gouvernance des données, ce type d’incident continuera de se multiplier.
Les faits : une extraction illicite via un compte agent compromis
En janvier 2026, un prestataire externe chargé du service client de ManoMano a été victime d’une attaque informatique. Concrètement, le compte d’un agent du sous-traitant a été compromis, permettant aux attaquants d’accéder aux interfaces internes et de procéder à un téléchargement non autorisé de données personnelles associées aux comptes clients.
Les données concernées par cette extraction illicite sont les suivantes : noms, prénoms, adresses électroniques, numéros de téléphone, ainsi que les éventuels échanges entre les clients et le service client de ManoMano.
ManoMano précise que les mots de passe ne sont pas concernés et que les données n’ont pas été modifiées. Les coordonnées bancaires ne figuraient pas dans le périmètre accessible au sous-traitant et ne sont donc pas impactées.
L’ampleur réelle de la fuite : bien au-delà des « milliers de clients » annoncés ?
Si ManoMano évoque officiellement des « milliers de clients » touchés, la réalité pourrait être bien plus préoccupante. Sur BreachForums, un forum prisé des cybercriminels, un pirate se faisant appeler « Indra » revendique la compromission de 37,8 millions de comptes utilisateurs, représentant environ 43 Go de données. Le butin inclurait également 935 000 tickets de service après-vente et plus de 13 500 pièces jointes, couvrant les bases de données de plusieurs pays européens : France, Espagne, Italie, Royaume-Uni et Allemagne.
Les données auraient été extraites depuis Zendesk, la plateforme de support client utilisée par ManoMano. Selon certaines sources, le sous-traitant concerné serait un centre d’appels situé en Tunisie. ManoMano n’a pas confirmé ces chiffres à ce jour.
La réponse de ManoMano : une gestion de crise exemplaire sur la forme
Dès la découverte de l’incident, ManoMano indique avoir pris plusieurs mesures immédiates. Le compte compromis a été identifié et bloqué le jour même de la découverte. L’ensemble des accès du prestataire concerné aux données clients a ensuite été révoqué. Un renforcement des contrôles d’accès a également été mis en œuvre en interne et chez les autres sous-traitants de la plateforme.
Sur le plan réglementaire, ManoMano a procédé aux notifications obligatoires auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés), de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et de la plateforme Urgence Cyber Île-de-France. L’entreprise a également ouvert une ligne téléphonique dédiée (+33 1 87 52 80 89) et indique que son Délégué à la Protection des Données reste joignable à l’adresse dpo@manomano.com.
La notification adressée aux clients se distingue par sa clarté et son exhaustivité. Elle détaille le mode opératoire, la nature exacte des données concernées, les mesures correctives prises et les recommandations de vigilance. Plusieurs analystes en cybersécurité ont salué cette transparence, qui tranche avec les communications souvent minimalistes observées dans ce type d’incident.
Les risques pour les personnes concernées
Les données exfiltrées constituent un terreau fertile pour des attaques d’ingénierie sociale. Avec un nom, un e-mail, un numéro de téléphone et surtout l’historique des échanges avec le service client, un attaquant dispose de tous les éléments nécessaires pour construire des messages de phishing extrêmement crédibles.
Les personnes concernées doivent se montrer particulièrement vigilantes face à plusieurs types de menaces :
- Phishing ciblé par e-mail, SMS ou appel téléphonique : les attaquants peuvent se faire passer pour ManoMano ou ses partenaires, en exploitant les détails des échanges passés avec le support pour rendre leur approche convaincante.
- Usurpation d’identité : les informations personnelles collectées peuvent servir à créer de faux profils ou à se faire passer pour la victime auprès de tiers.
- Fraude bancaire indirecte : bien que les coordonnées bancaires ne soient pas directement concernées, des tentatives de récupération de ces informations par ingénierie sociale sont prévisibles.
ManoMano recommande notamment de vérifier systématiquement la provenance des e-mails reçus, de ne jamais communiquer de données confidentielles sans avoir confirmé l’identité du demandeur par un canal alternatif, de ne cliquer sur aucun lien suspect et de surveiller régulièrement ses comptes bancaires.
L’analyse RGPD : la responsabilité du responsable de traitement face à ses sous-traitants
Cet incident soulève des questions fondamentales en matière de conformité RGPD, et en particulier sur la gestion de la chaîne de sous-traitance.
Le rappel de l’article 28 du RGPD
Le RGPD impose au responsable de traitement de ne faire appel qu’à des sous-traitants présentant des « garanties suffisantes » quant à la mise en œuvre de mesures techniques et organisationnelles appropriées (article 28). Le responsable de traitement reste pleinement responsable du traitement confié à ses sous-traitants. Externaliser un service, ce n’est pas externaliser le risque.
La notification aux personnes concernées (article 34)
ManoMano a procédé à la notification individuelle des personnes concernées, conformément à l’article 34 du RGPD qui l’exige lorsque la violation est susceptible d’engendrer un « risque élevé » pour les droits et libertés des personnes physiques. La combinaison des données identitaires, des coordonnées de contact et de l’historique des échanges avec le service client justifie pleinement cette qualification.
Le précédent Free : un avertissement à 42 millions d’euros
Il est difficile de ne pas faire le parallèle avec l’amende record de 42 millions d’euros infligée à Free par la CNIL pour un piratage massif survenu en 2024. Ce précédent montre que les autorités de contrôle n’hésitent plus à sanctionner lourdement les manquements à la protection des données, y compris lorsque la faille provient d’un tiers.
La question de l’audit des sous-traitants
Comme le soulignent plusieurs experts en cybersécurité, cet incident met en lumière l’insuffisance fréquente des audits de sécurité des prestataires tiers. Les outils de ticketing comme Zendesk, qui centralisent des volumes considérables d’informations personnelles et bénéficient de droits d’accès étendus, constituent des cibles de choix. La gouvernance des accès tiers et la traçabilité des opérations réalisées sur les données doivent devenir des priorités structurelles pour toute organisation qui externalise une partie de sa relation client.
Un contexte français alarmant
L’incident ManoMano s’inscrit dans une série préoccupante de violations de données touchant les entreprises françaises. Depuis fin 2024, des enseignes comme Free, Kiabi, Chronopost, Conforama, Orange, Auchan, Darty, Relais Colis ou encore Leroy Merlin ont été touchées. Selon la CNIL, 5 919 violations de données ont été notifiées en 2024, en hausse de 29 % par rapport à 2023.
Début 2026, le rythme ne faiblit pas : l’OFII (Office Français de l’Immigration et de l’Intégration), la Fédération nationale des chasseurs, l’agglomération d’Hénin-Carvin et la Commission européenne elle-même figurent parmi les victimes récentes.
Ce que les clients doivent faire
Pour les personnes ayant reçu la notification de ManoMano, voici les mesures de vigilance essentielles à adopter :
- Vérifier systématiquement l’origine des e-mails en contrôlant l’adresse de l’expéditeur avant toute action.
- Ne jamais communiquer de données confidentielles (mots de passe, identifiants, données bancaires) en réponse à une sollicitation non vérifiée, quel que soit le canal utilisé.
- Ne pas cliquer sur les liens suspects et préférer saisir directement l’adresse du site dans le navigateur.
- Surveiller ses comptes bancaires et faire opposition immédiatement en cas de prélèvement frauduleux.
- Maintenir son antivirus à jour sur l’ensemble de ses appareils.
Pour aller plus loin, la CNIL propose des ressources sur la sécurité numérique (https://www.cnil.fr/fr/mon-quotidien/ma-securite-numerique) et le site Cybermalveillance.gouv.fr publie des fiches pratiques sur l’usurpation d’identité (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/usurpation-identite-que-faire).
