Les données personnelles de 705 000 candidats à Parcoursup, tous rattachés à la région académique d’Occitanie pour les sessions 2023 et 2025, ont été dérobées lors d’une cyberattaque survenue en octobre 2025. L’information n’a été rendue publique que le 23 avril dernier par le ministère de l’Enseignement supérieur. La quasi-totalité des élèves de l’académie de Montpellier qui ont formulé des vœux pendant ces deux campagnes sont concernés.
Une partie des informations volées va bien au-delà du simple état civil : adresse postale, mail, numéro de téléphone, statut de boursier, parcours de formation et même la catégorie socio-professionnelle des parents pour les candidats mineurs au moment des vœux.
Une intrusion en octobre 2025, un signalement en mars 2026
Selon le communiqué officiel publié sur le site du ministère, la fuite résulte d’une usurpation frauduleuse du compte d’un module de gestion des données Parcoursup. Cet outil interne est normalement réservé aux personnels de la région académique d’Occitanie, dont fait partie l’académie de Montpellier qui couvre l’Hérault, le Gard, l’Aude, la Lozère et les Pyrénées-Orientales.
Les attaquants ont utilisé des identifiants légitimes pour pénétrer dans le système, puis ont exfiltré les données sans autorisation. L’intrusion a eu lieu en octobre 2025. Le ministère ne l’a découverte qu’au mois de mars 2026, à la suite d’un signalement extérieur. Près de six mois se sont donc écoulés entre les faits et leur identification. Plus d’un mois supplémentaire s’est ensuite écoulé avant que les candidats n’en soient informés.
Quelles données ont été volées ?
Le périmètre de la fuite est précis. Le ministère liste plusieurs catégories d’informations compromises pour les candidats des sessions 2023 et 2025 rattachés à l’Occitanie. Aucune donnée bancaire ni mot de passe n’est concernée selon le communiqué officiel.
- Identité : nom, prénom, nationalité, date de naissance
- Coordonnées : adresse postale, adresse mail, numéro de téléphone
- Scolarité : statut de boursier, parcours de formation, informations sur la scolarité
- Pour les candidats mineurs : lien de parenté et catégorie socio-professionnelle des responsables légaux
Sur le papier, ce sont des données personnelles classiques. En les croisant, elles permettent pourtant de bâtir des scénarios d’hameçonnage très crédibles, ciblant un étudiant identifié par son ancien lycée, son nom, sa date de naissance et son téléphone. C’est précisément ce risque que les autorités cherchent à anticiper.
Une plainte à Paris et la CNIL saisie
Le ministère de l’Enseignement supérieur a notifié la Commission nationale de l’informatique et des libertés (CNIL) de la violation, comme l’exige le règlement général sur la protection des données. Une plainte a également été déposée auprès de la procureure de la République de Paris, qui pilotera l’enquête pénale visant les auteurs du piratage.
Pour limiter les conséquences, plusieurs mesures techniques ont été déployées. Le module de gestion concerné est désormais anonymisé, les identifiants et mots de passe ont été révisés. Les conditions d’accès ont également été durcies pour la session Parcoursup 2026 en cours.
« L’exfiltration non autorisée de données à caractère personnel a été réalisée en octobre 2025. »
Communiqué officiel du ministère de l’Enseignement supérieur, 23 avril 2026
Que faire si vous êtes concerné ?
Le ministère informe progressivement par courriel les candidats touchés. Toute personne ayant formulé des vœux Parcoursup en 2023 ou 2025 depuis un établissement de l’Hérault est potentiellement dans le périmètre. Les anciens candidats qui résidaient dans le département au moment des vœux le sont également. Plus de 70 000 candidats sont entrés à l’université de Montpellier ou dans les autres établissements supérieurs locaux via ces deux sessions.
Attention aux mails ou SMS qui sembleraient provenir de Parcoursup, du rectorat ou d’une université. Tout message vous demandant de cliquer sur un lien, de payer des frais ou de communiquer vos coordonnées bancaires est suspect. Aucune autorité publique ne procède de cette façon.
Le réflexe à avoir si un message vous paraît suspect : ne pas cliquer, ne pas répondre. Signaler le contenu sur la plateforme Pharos ou sur cybermalveillance.gouv.fr. Les anciens candidats peuvent aussi exercer leur droit d’accès et de rectification auprès de la CNIL si une utilisation détournée de leurs données est constatée.
Un secteur éducatif sous pression cybersécurité
Cette fuite arrive dans un contexte où les administrations gérant des données scolaires sont régulièrement visées. Pour les anciens candidats résidant à Montpellier ou dans la métropole, le risque concret est l’usurpation d’identité numérique : ouverture de comptes en ligne, abonnements frauduleux, voire prises de rendez-vous administratifs au nom de la victime.
L’académie de Montpellier compte chaque année autour de 50 000 nouveaux candidats Parcoursup, en plus des étudiants en réorientation. Sur les sessions 2023 et 2025 cumulées, c’est donc l’écrasante majorité des bacheliers locaux qui se retrouvent dans le fichier compromis. La vigilance numérique est désormais un sujet quotidien pour ces jeunes adultes, dont beaucoup poursuivent leurs études en Hérault après leur entrée dans le supérieur.
Ceux qui s’engagent par exemple dans une formation en alternance communiquent à nouveau ces mêmes informations à des employeurs. La traçabilité d’éventuels détournements en devient très difficile. Le ministère promet une communication individualisée à tous les candidats concernés ainsi que des précisions complémentaires dans les prochaines semaines.
