La plateforme GAEL, utilisée pour gérer les diplômes DELF/DALF, a été victime d’une cyberattaque qui a exposé les données personnelles de près de 5,8 millions de personnes, dont des candidats depuis 2005, soulignant des lacunes de sécurité sur un service public et ravivant le débat sur la protection des données des usagers.
Une fuite massive sur une plateforme stratégique
Selon un communiqué officiel de France Éducation international, établissement sous tutelle du ministère de l’Éducation nationale, la plateforme GAEL a subi une intrusion informatique entre le 9 et le 12 janvier 2026. Les attaquants ont exploité des identifiants valides issus de comptes externes sans authentification multifactorielle, ce qui leur a permis d’accéder et d’exfiltrer des données personnelles. Parmi les informations volées figurent la civilité, le nom, la date et lieu de naissance, la nationalité ou encore la langue maternelle des personnes concernées. Selon l’administration, aucune donnée de contact (adresse, e-mail, téléphone) ni financière n’a été compromise, ni les notes ou diplômes obtenus.
Une réaction institutionnelle conforme aux obligations
Dès la détection de l’incident, l’accès à la plateforme a été suspendu par précaution et des mesures supplémentaires de sécurité sont à l’étude avant toute réouverture. L’Éducation nationale a aussi prévenu la CNIL et a déposé plainte auprès des autorités compétentes pour faire la lumière sur la compromission. Ce type de réaction est conforme aux obligations réglementaires en matière de notification des violations de données personnelles, mais il interroge sur l’efficacité des mesures de prévention antérieures, notamment l’absence d’une authentification forte sur un service manipulant des informations sensibles.
Dans un contexte de menaces croissantes
Cette attaque s’inscrit dans un contexte plus large de cyberincidents visant des services publics et institutions françaises. Ces derniers mois, plusieurs ministères, dont celui des Sports et celui de l’Intérieur, ont également déclaré des compromissions ou des fuites de données affectant des millions de foyers ou des systèmes internes, avec notification aux autorités compétentes. La répétition de tels incidents soulève des questions sur la résilience des systèmes d’information de l’État face à des menaces devenues aujourd’hui quasi quotidiennes, tout en mettant en lumière l’importance de contrôles d’accès rigoureux et de pratiques de cybersécurité adaptées à des services essentiels.
