Nom de la violation :

Accès non autorisé via un compte administrateur interne du prestataire RDV360

Date de l’événement (début estimé) :

Nuit du 8 au 9 novembre 2025

Date et heure de détection par le prestataire :

12 novembre 2025 – 10h00

Date et heure de connaissance par le responsable du traitement (collectivité) :

⇒ (date et heure d’information de la collectivité par le prestataire, déclenchant l’obligation éventuelle de notification)

Date et heure de résolution / sécurisation complète :

12 novembre 2025 – 11h00

1. Description de l’incident

Un individu non autorisé a réussi à accéder à un compte administrateur interne du prestataire.

Depuis cet accès, il a pu consulter l’interface de plusieurs collectivités et déclencher des exports de données usagers sans action des agents municipaux.

L’intrusion a été détectée après au second signalement de collectivités constatant un export non sollicité.

2. Nature de la violation (classification CNIL)

• Atteinte à la confidentialité (accès et export non autorisés)
• Pas d’atteinte à l’intégrité
• Pas d’atteinte à la disponibilité

3. Catégories de personnes concernées

Usagers ayant pris rendez-vous ou soumis une demande par téléphone ou via les formulaires en ligne de la collectivité.