Menu
× Accueil Supprimer un compte Blog Extension Chrome En savoir plus
← Blog Droits et données Initié 5 min

Cyberattaque ÉduConnect : que faire quand les données de vos enfants sont piratées ?

Cyberattaque ÉduConnect : que faire quand les données de vos enfants sont piratées ?

Votre enfant utilise ÉduConnect pour accéder à Pronote, au livret scolaire ou aux ressources pédagogiques. Le 14 avril 2026, le ministère de l'Éducation nationale a confirmé qu'une cyberattaque menée en décembre 2025 avait permis à un tiers de télécharger des données d'élèves.

Voici ce qui a fuité et les démarches concrètes à réaliser.

Ce qui s'est passé

ÉduConnect est la porte d'entrée pour se connecter aux services numériques de l'école ou du collège. Un attaquant a usurpé l'identité d'un membre du personnel habilité à gérer les comptes élèves, puis a réussi à exfiltrer de grands volumes de données.

Les informations exposées, d'après le ministère de l'Éducation nationale, concernent :

  • le prénom et le nom de l'élève,

  • son identifiant ÉduConnect,

  • son établissement et sa classe,

  • son adresse email.

Aucune donnée dite sensible (santé, notes, absences) n'a été exposée d'après les premières constatations et le nombre exact d'élèves concernés n'est pas encore connu.

L'ANSSI et la CNIL ont été saisies, une plainte a été déposée, la faille a été corrigée et une double authentification déployée pour les personnels (next.ink, 14 avril 2026).

Pourquoi c'est grave, même sans "donnée sensible" ?

Prénom, nom, établissement, classe et email forment un cocktail parfait pour du phishing ciblé. Un escroc peut écrire à un élève ou à ses parents en se faisant passer pour le professeur principal ou un service de l'Éducation nationale, avec des détails réels qui inspirent confiance. Les enfants sont un public particulièrement vulnérable à ce type de manipulation.

Ces données identifient aussi un mineur dans son contexte de vie. Croisées avec d'autres fuites, elles permettent d’enrichir le profil de la personne et ainsi rendre les messages de phishing encore plus crédibles.

Ce que le RGPD impose à l'Éducation nationale

Quand une violation de données personnelles "est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique", l'article 34 du RGPD oblige le responsable du traitement, ici le ministère, à informer directement les personnes concernées « dans les meilleurs délais ».

Cette notification doit d'après le texte :

  • décrire la nature de la violation en termes clairs ;

  • indiquer les conséquences probables ;

  • détailler les mesures prises ou prévues pour en limiter les effets ;

  • fournir un point de contact (DPO).

La CNIL doit être informée sous 72 heures au titre de l'article 33 RGPD. Si vous n'avez jamais reçu de message du ministère ou de votre établissement alors que votre enfant utilise ÉduConnect, cela ne signifie pas pour autant que votre enfant n’est pas concerné. Vous pouvez en cas de doute interroger le responsable de traitement.

À retenir :

  • Identité + établissement + classe + email suffisent pour du phishing ciblé.

  • Si rien ne vous est parvenu, le droit d'accès et la plainte CNIL restent ouverts.

Ce que vous pouvez faire, concrètement

1. Renouveler le mot de passe ÉduConnect de votre enfant. Le ministère indique que les codes non activés ont été réinitialisés. Un changement manuel de la part des parents reste la mesure la plus rapide pour reprendre la main.

2. Exercer votre droit d'accès. Vous avez le droit, en tant que responsable légal, de demander au ministère toutes les informations qu'il détient sur votre enfant et de savoir précisément si ses données ont été exposées dans cette attaque. L'administration dispose d'un mois pour répondre. La CNIL détaille la marche à suivre sur sa page droit d'accès.

3. Rester vigilant face aux messages "de l'école". Un email ou SMS qui utilise le prénom de votre enfant, sa classe et son établissement n'est pas forcément légitime. En cas de doute, ne cliquez pas sur les liens. Accédez directement au site depuis votre navigateur ou joignez directement le secrétariat de l'établissement par téléphone.

4. Saisir la CNIL si le ministère reste silencieux. Si vous estimez que vous auriez dû être informé et que vous ne l'avez pas été, vous pouvez déposer une plainte en ligne via le service plainte de la CNIL. La CNIL instruit et peut sanctionner y compris un acteur public.

5. Signaler toute tentative d'escroquerie. Phishing, SMS frauduleux et appels suspects peuvent être transmis à cybermalveillance.gouv.fr ou à la plateforme Thesee.

À retenir :

  • Le renouvellement du mot de passe et la vigilance anti-phishing sont les deux gestes immédiats.

  • Le droit d'accès (art. 15 RGPD) permet d'obtenir une réponse personnalisée sous un mois.

  • La plainte CNIL reste l'ultime recours si le ministère garde le silence.

Ce que cette affaire rappelle

Centraliser les données de millions d'élèves dans un compte unique simplifie la vie des familles et crée en même temps une cible intéressante pour les pirates. Chaque brique numérique ajoutée (Pronote, ENT, applis pédagogiques) est une porte d'entrée de plus.

Le RGPD n'empêche pas les cyberattaques. Il garantit que vous puissiez être informé afin d’être vigilant.

Questions fréquentes

Mon enfant n'a jamais utilisé ÉduConnect. Peut-il quand même être concerné ?

Oui, potentiellement. Les comptes non activés ont été inclus dans la réinitialisation annoncée par le ministère, ce qui indique qu'ils étaient présents dans la base. Les données minimales (identité, établissement, classe) existent pour la plupart des élèves scolarisés, indépendamment d'une connexion effective.

Est-ce que je recevrai forcément un courriel du ministère ?

Pas nécessairement. L'article 34 RGPD impose la notification individuelle uniquement en cas de "risque élevé", et une communication publique peut parfois s'y substituer si l'effort d'information individuelle est disproportionné. Dans le doute, exercer un droit d'accès reste le moyen le plus direct d'obtenir une réponse personnalisée.

Puis-je demander la suppression des données de mon enfant ?

Le droit à l'effacement (article 17 RGPD) connaît des exceptions, notamment pour les traitements reposant sur une mission d'intérêt public, ce qui est le cas de la gestion de la scolarité. La suppression pure est peu probable tant que l'élève est scolarisé, mais un droit de rectification ou de limitation reste mobilisable.

Comment formuler un droit d'accès auprès du ministère ?

Un courriel au délégué à la protection des données du ministère (dpd@education.gouv.fr) suffit, en précisant l'identité de l'enfant, son identifiant ÉduConnect si connu, et la demande explicite de savoir quelles données sont détenues et si elles ont été concernées par l'incident de décembre 2025. Joindre une copie d'une pièce d'identité du responsable légal accélère le traitement.

Combien de temps ai-je pour agir ?

Il n'y a pas de délai de forclusion pour exercer un droit d'accès ou déposer une plainte CNIL. En revanche, la vigilance anti-phishing s'impose immédiatement, les campagnes frauduleuses suivant souvent la révélation d'une fuite.

Pour aller plus loin

Fairmi vous aide à exercer vos droits sur vos données. Identifiez en quelques clics les services qui détiennent vos informations et envoyez-leur une demande RGPD conforme, gratuitement. Découvrir les marques référencées sur Fairmi.

Dans la même série

Initié

App européenne de vérification d'âge : ce qui se prépare et pourquoi ça vous concerne

La Commission européenne annonce que son application de vérification d'âge est prête. La France en pilote sur le sujet. Promesse d'anonymat, fonctionnement concret et vos droits.

5 min
Débutant

Fuite de données chez Basic-Fit : un million de membres exposés, voici vos droits

Basic-Fit a notifié la CNIL après une fuite touchant un million de clients. Ce que la loi impose à l'entreprise, ce que vous pouvez exiger.

5 min
Initié

Deepfakes sexuels sur App Store et Play Store : les recours du citoyen

95 applications de deepfakes sexuels recensées sur les stores d Apple et Google, 483 millions de téléchargements. Ce que dit la loi, ce que vous pouvez faire.

5 min