Le Centre national des œuvres universitaires et scolaires a annoncé avoir été victime d’un cyberattaque ayant entraîné l’exfiltration de données personnelles concernant 774 000 étudiants ou anciens étudiants ayant utilisé une plateforme en ligne liée aux services universitaires.
Le Centre national des œuvres universitaires et scolaires, établissement public qui gère notamment le réseau des Crous et certains services de la vie étudiante, a indiqué le 24 mars 2026 avoir découvert une exfiltration de données provenant du site mesrdv.etudiant.gouv.fr. Cette plateforme est utilisée pour la prise de rendez-vous avec les services sociaux et les services liés au logement étudiant. Selon l’établissement public, les personnes concernées sont celles ayant pris rendez-vous sur cette plateforme au cours des dix dernières années.
Selon les informations communiquées par l’établissement, 774 000 personnes sont concernées par ce piratage. Parmi elles, 139 000 personnes ont fait l’objet d’une exfiltration de pièces jointes déposées dans l’application lors de leurs démarches. Pour les autres personnes concernées, soit environ 635 000 individus, les données exfiltrées sont présentées comme limitées et concernent le nom, le prénom, l’adresse électronique, l’objet du rendez-vous ainsi que la date du rendez-vous enregistré sur la plateforme.
Investigation technique, signalement à la Cnil et dépôt de plainte suite à la cyberattaque
À la suite de la découverte de cette cyberattaque, le Centre national des œuvres universitaires et scolaires a indiqué avoir immédiatement sécurisé les accès concernés et engagé une investigation technique afin d’identifier l’origine de l’intrusion informatique et de comprendre les conditions dans lesquelles les données ont été extraites. L’établissement a également précisé qu’une déclaration avait été faite auprès de la Commission nationale de l’informatique et des libertés, autorité administrative indépendante chargée de veiller à la protection des données personnelles.
Le Centre national des œuvres universitaires et scolaires a aussi indiqué qu’un dépôt de plainte était en cours à la suite de cet incident. Le site internet concerné par la cyberattaque a été temporairement suspendu afin de permettre des vérifications techniques et une réouverture avec des conditions de sécurité renforcées. L’établissement public a précisé que chaque personne concernée par cette exfiltration de données serait informée individuellement de la situation.
Cette affaire intervient dans un contexte de plusieurs incidents informatiques touchant le secteur de l’éducation. Des données personnelles d’environ 243 000 agents de l’Éducation nationale ont été piratées le 15 mars. Par ailleurs, des données administratives concernant environ 1,5 million de personnes ont été divulguées après une attaque informatique visant le Secrétariat général de l’Enseignement catholique.
