Cyberattaque chez Leroy Merlin : les données personnelles de milliers de clients exposées

L'enseigne de bricolage Leroy Merlin, membre de la galaxie Mulliez, a confirmé avoir été victime d'une cyberattaque le jeudi 4 décembre 2025. L'incident a compromis les données personnelles associées aux comptes de fidélité de « quelques centaines de milliers » de ses clients, qui ont été informés par l'entreprise dès la découverte de l'attaque. Les données dérobées sont principalement des « données de contact », incluant les noms, prénoms, numéros de téléphone, adresses e-mail et postales, ainsi que les dates de naissance et des informations relatives au programme de fidélité. Leroy Merlin a toutefois précisé que les informations les plus sensibles, à savoir les données bancaires et les mots de passe des comptes clients, n'ont pas été affectées par cette intrusion et demeurent sécurisées. En réponse à cet acte de malveillance, l'entreprise a annoncé son intention de déposer plainte et a notifié l'incident à la Commission nationale de l'information et des libertés (Cnil). Des vérifications sont également en cours pour évaluer l'étendue complète de la fuite de données. Cette attaque s'inscrit dans un contexte de cybermenaces croissantes en France.

D'autres organisations, comme Auchan (également du groupe Mulliez) et l'agence publique France Travail, ont récemment subi des piratages similaires.

D'après un rapport de la Cnil, le nombre de violations de données touchant plus d'un million de personnes a doublé en 2024, passant d'une vingtaine à une quarantaine d'attaques réussies.