Les accès frauduleux identifiés, reposant sur l’utilisation d’identifiants légitimes, et à la suite, l’exfiltration non autorisée de données à caractère personnel, ont été réalisés en octobre 2025. Ces données concernent les candidatures rattachées à des sessions Parcoursup déjà terminées : les sessions 2023 et 2025.
Les investigations conduites indiquent également que l’extraction frauduleuse a concerné un volume de données rattachées à environ 705 000 candidats, résidant en Occitanie ou y ayant formulé des vœux au cours de la session 2023 ou de la session 2025. Ces données concernent des éléments d’identité (nom, prénom, nationalité française, UE ou hors UE, date de naissance) des coordonnées (adresse, adresse mél et numéro de téléphone), des informations sur la scolarité, le statut de boursier ou non et le parcours de formation et, pour les mineurs le lien de parenté et la catégorie socio-professionnelle des responsables légaux.
Les candidats des sessions 2023 et 2025 concernés sont informés. La Commission nationale de l’informatique et des libertés (CNIL) a été notifiée et une plainte a été déposée auprès de la procureure de la République de Paris.
Le ministère de l’Enseignement supérieur, de la Recherche et de l’Espace prend cet incident avec la plus grande gravité et met tout en œuvre, conformément à la feuille de sécurité numérique de l’État, pour en limiter les conséquences et renforcer la sécurité de ses systèmes.
Les équipes techniques ont été immédiatement mobilisées pour mettre en place les mesures de sécurisation renforcées : anonymisation du module de gestion affecté pour toutes les sessions, session 2026 comprise ; révision des identifiants et mots de passe et durcissement des conditions d’accès.
Si les données ne sont plus accessibles, le ministère appelle néanmoins l’ensemble des usagers concernés à la vigilance sur d’éventuelles tentatives d’hameçonnage (phishing), d’escroquerie ou d’usurpation d’identité qui restent possibles à la suite de cette divulgation.