Le géant français du bricolage et de l’aménagement de la maison, Leroy Merlin, a annoncé le 3 décembre 2025 qu’il a été victime d’un acte de « cybermalveillance » ayant entraîné la fuite de données personnelles de plusieurs centaines de milliers de clients.
🔎 Données concernées
Selon le communiqué adressé aux clients :
- nom et prénom,
- adresse e-mail,
- adresse postale,
- numéro de téléphone,
- date de naissance,
- informations liées au programme de fidélité.
L’enseigne précise que les données bancaires et les mots de passe des comptes clients ne semblent pas avoir été compromis.
📧 Réaction de Leroy Merlin et mesures prises
Leroy Merlin indique qu’aussitôt l’attaque détectée, l’accès non autorisé a été bloqué et la brèche contenue.
Les clients concernés ont été informés — notamment par e-mail — et l’enseigne a déclaré l’incident auprès de la CNIL, comme l’exige la réglementation.
L’entreprise appelle aussi à la vigilance : elle déconseille aux clients de répondre à des sollicitations suspectes (appels, e-mails, SMS), et invite à ne transmettre aucune information personnelle en réponse.
⚠️ Risques pour les clients : ce qu’il faut surveiller
Même si les données bancaires ne semblent pas visées, les informations exposées — nom, adresse, e-mail, date de naissance — restent sensibles. Elles peuvent permettre des tentatives d’arnaques, d’hameçonnage (phishing), voire d’usurpation d’identité. Plusieurs médias et experts appellent donc à être particulièrement vigilants. JustGeek+2L’Informaticien+2
🧑💻 Contexte plus large : une vague de fuites de données en France
L’attaque contre Leroy Merlin s’inscrit dans un contexte de montée des cyberattaques visant des entreprises ou organismes français ces dernières semaines — parmi eux figurent notamment des services publics, des prestataires ou d’autres grandes sociétés, ce qui alerte sur la vulnérabilité croissante face aux menaces numériques. L’Informaticien+2L’Informaticien+2
Que peuvent faire les clients concernés ?
- Vérifier l’e-mail d’information envoyé par Leroy Merlin : s’assurer qu’il provient bien d’un canal officiel.
- Être extrêmement vigilant·e·s aux messages suspects (phishing) — ne surtout pas cliquer sur des liens venant d’expéditeurs inconnus.
- Ne jamais transmettre d’informations sensibles en réponse à un e-mail ou SMS non sollicité.
- Surveiller leurs comptes en ligne et leurs relevés bancaires (par mesure de précaution), même si les données bancaires n’ont pas été exposées.
- En cas de doute, signaler l’incident à leur banque ou aux autorités compétentes.
Pourquoi c’est inquiétant — et ce que cela révèle
- L’ampleur de l’attaque montre que même des grandes enseignes réputées peuvent être vulnérables : la cybersécurité reste un défi, malgré les moyens dont disposent ces entreprises.
- La fuite de données de type « identité + coordonnées personnelles » est particulièrement dangereuse, car elle ouvre la porte à des arnaques très ciblées.
- Ce type d’incidents fragilise la confiance des clients : protéger les données personnelles devient un enjeu central, mais les risques augmentent.
- Enfin, cette attaque illustre une tendance plus large en France (et en Europe) : les cyberattaquants ciblent désormais non seulement des institutions publiques ou financières, mais aussi des acteurs de la consommation, du commerce, du retail — pour un « rendement » élevé (grand nombre de personnes concernées).