En janvier 2025, des allégations concernant une prétendue fuite de données chez Carrefour ont suscité l’inquiétude de nombreux clients. Un internaute, se faisant appeler « LaFouine », a affirmé avoir mis en vente sur le forum BreachForums une base de données contenant des informations personnelles de 13 millions de clients de l’enseigne. Face à ces accusations, Carrefour a rapidement réagi en menant des investigations approfondies et en démentant toute compromission de ses systèmes.
🟠 1 – Les allégations initiales
Le 19 janvier 2025, un utilisateur du forum BreachForums, sous le pseudonyme « LaFouine », a proposé à la vente une base de données prétendument issue des systèmes de Carrefour. Selon les informations relayées par plusieurs médias, cette base contiendrait des données sensibles telles que les noms, adresses postales, numéros de téléphone, adresses e-mail, dates de naissance, préférences d’achat et historiques de commandes en ligne des clients de l’enseigne. La mise en vente de ces informations a rapidement été signalée par des experts en cybersécurité, suscitant des préoccupations quant à la sécurité des données des clients de Carrefour.
🟠 2 – La réaction de Carrefour
Carrefour a immédiatement entrepris des investigations pour vérifier la véracité de ces allégations. Dans une déclaration transmise à la rédaction de Clubic, l’entreprise a indiqué : « Le lundi 20 janvier, nous avons été informés d’une possible connexion illégitime à l’un de nos systèmes informatiques ou à celui de l’un de nos partenaires. » Les équipes de Carrefour se sont mobilisées pour effectuer toutes les analyses nécessaires afin de vérifier ces informations. À l’issue de ces investigations, le groupe a affirmé que « les données de nos clients n’ont pas été compromises ».
🟠 3 – Le contexte des cyberattaques
Cette affaire intervient dans un contexte où les cyberattaques et les fuites de données se multiplient en France. Plusieurs grandes enseignes ont récemment été ciblées par des cybercriminels, ce qui renforce la vigilance des entreprises quant à la protection des données de leurs clients. Carrefour, en démentant cette prétendue fuite, souligne l’importance de la réactivité et de la transparence pour maintenir la confiance de sa clientèle.
🟠 Conclusion
Bien que des rumeurs aient circulé concernant une possible fuite de données chez Carrefour, les investigations menées par l’entreprise n’ont révélé aucune compromission de ses systèmes. Cette situation met en évidence la nécessité pour les entreprises de rester vigilantes face aux menaces cybernétiques et de communiquer de manière transparente avec le public.
Pour en savoir plus / sources :
Un an après avoir lancé une ambitieuse stratégie de démocratisation de l’intelligence artificielle (IA), le Barreau de Paris franchit une nouvelle étape décisive avec la publication de son premier Livre blanc dédié à cette technologie. Ce document, pensé comme un outil d’accompagnement pour les avocats, marque une volonté claire : intégrer l’IA dans la pratique juridique tout en respectant les exigences déontologiques et réglementaires.
Dans un contexte européen marqué par l’évolution constante des réglementations numériques, le Comité européen de la protection des données (CEPD) poursuit ses efforts pour garantir une meilleure transparence dans le traitement des données personnelles. Deux initiatives récentes illustrent cette dynamique : la publication de lignes directrices sur l’interaction entre le RGPD et le Digital Markets Act (DMA), et le lancement d’une action coordonnée sur la transparence en 2026.
Le 10 juillet 2025, la Commission européenne a publié la version finale du Code de bonnes pratiques pour l’intelligence artificielle à usage général (GPAI), marquant une nouvelle étape dans la régulation de l’intelligence artificielle en Europe. Ce Code, bien que volontaire, s’inscrit dans un contexte de montée en puissance du Règlement sur l’IA (AI Act), dont certaines dispositions, notamment celles concernant les GPAI, sont applicables depuis le 2 août 2025.
Le 3 septembre 2025, le Tribunal de l'Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis. Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.