FAQ - Exfiltration de données personnelles à la suite d'un incident de sécurité sur un serveur du CNRS
16 février 2026
Le CNRS a identifié des téléchargements non autorisés de fichiers contenant des données de personnes rémunérées par le CNRS avant le 1er janvier 2007. Retrouvez ici les réponses à vos questions sur l'exfiltration de ces données.
Que s’est-il passé ?
Dans le cadre de ses revues de sécurité, le CNRS a identifié des téléchargements non autorisés de fichiers contenant des données de personnes rémunérées par le CNRS avant le 1er janvier 2007.
Dès connaissance de l’incident, le serveur a été isolé et arrêté. Après analyse, l’incident ne s’est pas propagé au reste des infrastructures. La Commission nationale informatique et liberté (CNIL) et l’Agence nationale de la sécurité des systèmes d'information (ANSSI) ont été informées de l'exfiltration des données.
Les fichiers téléchargés contenaient des données personnelles (nom, prénom, date de naissance, adresse, numéro de sécurité sociale, RIB), et professionnelles (statut, type de contrat, structure d’affectation).
Qu’est-ce qu’une exfiltration de données ?
Il peut s’agir de la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
Des informations personnelles (nom, prénom, date de naissance, adresse, numéro de sécurité sociale, RIB), et professionnelles (statut, type de contrat, structure d’affectation) sont perdues, volées ou vues par des personnes non autorisées.
Quelles personnes sont concernées ?
Les personnes ayant travaillé au CNRS (titulaires et non titulaires) avant le 31 décembre 2006. Les personnes recrutées au CNRS à partir du 1er janvier 2007 ne sont pas concernées.
Quelles données sont concernées ?
Les fichiers comportent des données personnelles et professionnelles des personnes recrutées au CNRS avant le 31 décembre 2006 : nom, prénom, date de naissance, adresse personnelle, statut, type de contrat, structure d’affectation, adresse mail, numéro de sécurité sociale, relevé d’identité bancaire.
Que faire ?
- Prévenez votre banque ;
- Surveillez vos comptes (banque, réseaux sociaux, messagerie) ;
- Portez attention aux démarchages à domicile, surveillez le contenu des courriers postaux ;
- Veillez aux messages liés à votre sécurité sociale ou carte vitale ;
- Consultez le site de la CNIL
- Vérifiez si vos données sont en fuite sur le site haveibeenpwned.com ;
- Veillez à l’utilisation de votre identité
Si vous constatez que vos données servent à des arnaques, phishing, faux prélèvements, usurpation d’identité, paiement frauduleux, portez plainte auprès de la police ou de la gendarmerie avec toutes les preuves (captures d’écran, e-mail...). Sécuriser vos données quotidiennement.
