Leroy Merlin a confirmé avoir été la cible d’une cyberattaque ayant compromis des données personnelles liées aux comptes de fidélité de plusieurs centaines de milliers de clients. L’entreprise assure que ni les données bancaires ni les mots de passe ne figurent parmi les éléments piratés. Selon les premières vérifications, seules des informations de contact ont été extraites, notamment les noms, prénoms, numéros de téléphone et adresses e-mail ou postales. La direction indique avoir déposé plainte, informé la Cnil et prévenu individuellement les clients concernés dès la découverte du piratage, tandis qu’un audit interne se poursuit pour en mesurer l’ampleur exacte.
Une attaque qui ravive les inquiétudes autour des données personnelles
L’incident survient dans un contexte déjà tendu pour les grandes enseignes françaises, plusieurs d’entre elles ayant été prises pour cible ces derniers mois. Le groupe Mulliez, propriétaire de Leroy Merlin, avait déjà vu Auchan frappé par des intrusions similaires fin 2024 et durant l’été 2025. En début de semaine, France Travail avait également alerté sur un piratage susceptible d’exposer les données de 1,6 million de jeunes suivis par les missions locales. La Cnil rappelait récemment que les violations de grande ampleur dépassant le million de personnes avaient doublé en un an, soulignant une offensive croissante contre les bases de données publiques et privées.
