Le piratage du Guichet Unique intervenu entre le 2 et le 4 mai 2026 a conduit à la compromission de 152 comptes salariés, dont 123 appartenant au périmètre du CSEE DTSI.
À la clé : le détournement de bons d’achat Pluxee destinés aux salarié·es.
Pour SUD, cet incident est grave et soulève des interrogations majeures sur le niveau réel de sécurisation des outils utilisés pour gérer les Activités Sociales et Culturelles.
SUD s’étonne notamment de l’absence de dispositifs pourtant devenus standards dans la protection des comptes sensibles, comme la double authentification (MFA). Lorsque des données personnelles et des avantages financiers sont accessibles en ligne, les exigences de cybersécurité doivent être à la hauteur des risques.
Cette affaire soulève également des enjeux importants en matière de protection des données personnelles. Une adresse électronique nominative constitue une donnée personnelle au sens du RGPD. En cas de compromission de comptes et de modification d’informations de contact, des obligations légales existent et doivent être respectées, notamment vis-à-vis de la CNIL.
Dans ce contexte, SUD demande :
• - qu’un point complet et transparent soit présenté aux élus et aux organisations syndicales
• - qu’une déclaration à la CNIL soit effectuée si cela n’a pas déjà été fait
• - qu’un dépôt de plainte soit effectué afin que toute la lumière soit faite sur cette attaque et les responsabilités engagées
• - qu’un audit indépendant de cybersécurité soit engagé rapidement et que les conclusions et recommandations de cet audit soient communiquées
• - qu’un plan précis de mise en conformité et de sécurisation soit présenté
SUD tient également à rappeler qu’il n’est pas acceptable de laisser entendre que cet incident relèverait avant tout d’un manque de vigilance individuelle des salarié-es. Les premiers éléments connus mettent surtout en lumière des insuffisances structurelles dans les dispositifs de sécurité mis en œuvre.
La protection des données et des comptes utilisateurs est une responsabilité des organismes gestionnaires. Les salarié-es doivent pouvoir utiliser les services des ASC en confiance, avec des garanties de sécurité à la hauteur des enjeux.
SUD restera mobilisé et attentif aux suites qui seront données à cette affaire.