Imaginez ce coup de fil : un conseiller Bouygues Télécom vous appelle, connaît votre nom complet, votre adresse exacte, votre numéro et la date approximative de votre dernier passage de technicien fibre. Il vous demande de valider un code de sécurité reçu par SMS pour "sécuriser votre ligne après l'incident". Tous les détails sont justes. Sauf que ce n'est pas Bouygues, c'est un escroc qui a acheté votre fiche client sur un forum cybercriminel.
C'est exactement le risque ouvert par la fuite que Bouygues Télécom a confirmée le 11 mai 2026, dans un mail envoyé "à certains de [ses] clients" (Univers Freebox, 12 mai 2026). L'opérateur reste discret sur l'ampleur. Les chercheurs qui suivent les places de marché cybercriminelles évoquent une base d'environ 4,5 millions de Français et un volume de plus de 80 Go couvrant la période 2022 à avril 2026 (Selectra, 11 mai 2026).
Ce qui a fuité et ce qui n'a pas fuité
Bouygues confirme la compromission des données suivantes : nom, prénom, date de naissance, adresse postale complète, adresse email et numéro de téléphone.
Ce qui n'a pas fuité : mot de passe, IBAN, numéro de carte bancaire. C'est une bonne nouvelle relative qui distingue cet incident de celui d'août 2025 où 6,4 millions de clients avaient vu leurs IBAN exposés. Inutile donc de faire opposition sur votre carte ou de demander un changement de RIB.
Pourquoi c'est plus dangereux qu'il n'y paraît
Quand un IBAN fuite, le risque est connu et borné : un prélèvement frauduleux qui se conteste en quelques clics auprès de votre banque. Quand votre fiche complète fuite avec nom, adresse, téléphone et email reliés au même numéro client, le risque est plus insidieux : il alimente du phishing ciblé.
Un escroc qui sait que vous êtes client Bouygues à telle adresse et joignable à tel numéro peut construire un scénario quasi indétectable. Faux SAV, faux relevé impayé, faux conseiller commercial qui propose une "compensation après l'incident". La donnée brute n'a pas de valeur en elle-même mais combinée à un script convaincant elle ouvre la porte à des arnaques bien plus efficaces que le phishing générique. C'est précisément la raison pour laquelle l'article 34 du RGPD impose à l'entreprise une notification individuelle quand le risque pour les personnes est élevé.
Vérifier que vous êtes concerné
Premier réflexe : ouvrir votre boîte mail (y compris les spams) et chercher un message d'expéditeur Bouygues Télécom envoyé entre le 8 et le 12 mai 2026 vous informant de la compromission. Si vous l'avez reçu, vous êtes dans le périmètre. Si vous n'avez rien et que vous êtes client, l'absence de mail signifie probablement que votre fiche n'a pas été touchée. Cela ne dispense pas pour autant de la vigilance qui suit.
Attention : ne cliquez sur aucun lien contenu dans ce mail, même s'il semble légitime. Connectez-vous directement à votre espace client via l'application officielle ou en tapant l'URL dans votre navigateur. Un faux mail Bouygues prétendant communiquer sur la fuite circule déjà.
Vos réflexes pendant les prochaines semaines
Le risque est concentré sur les semaines qui suivent l'annonce, le temps que les fiches volées circulent sur les places de marché cybercriminelles. Trois règles vous couvrent largement.
Un conseiller authentique ne vous demandera jamais de lui communiquer un code de validation reçu par SMS. Jamais. Si c'est demandé, c'est une fraude, peu importe à quel point l'interlocuteur connaît votre dossier. Raccrochez et rappelez vous-même le 1064 depuis votre numéro habituel.
Méfiez-vous des SMS contenant un lien, même quand l'expéditeur affiche "Bouygues". Le smishing exploite la crédibilité d'un sujet d'actualité. Si un message vous demande de mettre à jour vos coordonnées ou de cliquer pour récupérer un remboursement, allez vérifier directement dans votre espace client.
Activez l'authentification à deux facteurs sur votre espace Bouygues si ce n'est pas déjà fait. Même réflexe pour vos comptes email et bancaires : la fuite n'expose pas vos mots de passe mais elle simplifie la tâche d'un attaquant qui voudrait deviner vos identifiants ou tenter une attaque par récupération de compte.
Vos droits et ce que vous pouvez réellement faire
Le RGPD vous donne deux leviers concrets dans cette situation. D'une part, vous pouvez exercer votre droit d'accès auprès de Bouygues Télécom (art. 15 RGPD) pour obtenir la liste des données que l'opérateur détient sur vous. Bouygues doit par ailleurs vous communiquer le détail précis des informations compromises par cet incident au titre de son obligation de notification individuelle (art. 34 RGPD). D'autre part, si vous estimez subir un préjudice (par exemple si vous êtes victime d'une arnaque téléphonique exploitant ces données dans les mois qui suivent), vous pouvez engager une action en réparation.
Plus simplement, vous pouvez aussi signaler l'incident à la CNIL qui a été notifiée par Bouygues mais qui prend en compte les signalements individuels pour mesurer l'impact réel. Le formulaire de plainte se trouve sur cnil.fr/plaintes.
Ce que cet épisode raconte
Deux fuites massives chez le même opérateur en moins de neuf mois : ce n'est pas un accident isolé. C'est la photographie d'un secteur qui sous-investit la sécurité interne de ses outils de gestion, alors même que les opérateurs sont parmi les plus gros détenteurs de données personnelles en France.
La question pour la CNIL n'est pas seulement de sanctionner cette fuite, c'est aussi d'auditer la segmentation des accès dans les systèmes d'information des opérateurs avant la suivante.
En attendant cet audit, les clients servent une fois de plus de variable d'ajustement. À nous d'élever notre vigilance pendant que l'industrie élèvera, peut-être, son niveau de sécurité.