Fuites de données en Espagne : ce que révèle le rapport AEPD 2026

357 millions de personnes notifiées d'une fuite de leurs données depuis 2024. Et sur les seuls quatre premiers mois de 2026, l'AEPD (Agence espagnole de protection des données) a déjà reçu près de deux tiers du volume total de notifications enregistrées sur toute l'année 2025.

L'AEPD recense les notifications de brèches qui lui sont adressées et en publie désormais le détail dans un dashboard interactif : volumétrie, secteurs concernés, profil des victimes, sévérité des conséquences, modes d'attaque et répartition géographique. Cette transparence est précieuse. Elle permet aux entreprises de comparer leur exposition au risque, aux DPO d'argumenter auprès de leur direction, et aux RSSI de calibrer leurs investissements.

» Lire cet article en espagnol

Les chiffres parlent d'eux-mêmes. Entre 2024 et avril 2026, l'AEPD a reçu 7 041 notifications de brèches : 2 704 en 2024, 2 600 en 2025, et déjà 1 737 sur les seuls quatre premiers mois de 2026. Au rythme actuel, l'année 2026 pourrait largement dépasser les volumes des deux années précédentes.

Plus frappant encore : le mois de mars 2026 a enregistré à lui seul 762 notifications, soit un pic historique sans équivalent dans la série. Avril 2026 confirme la tendance avec 502 nouvelles notifications. Ce n'est plus un bruit de fond statistique, c'est une bascule.

Côté volume d'individus impactés, les chiffres atteignent des ordres de grandeur vertigineux : 357 millions de personnes notifiées au total, dont 209 millions sur la seule année 2025. Les pics d'octobre et novembre 2025 (près de 60 millions de personnes informées chaque mois) suggèrent une ou plusieurs méga-brèches d'envergure nationale.

Le rapport AEPD apporte une lecture précieuse du profil des personnes affectées. Sans surprise, les clients et citoyens dominent (268 cas), suivis des employés (145). Un rappel utile que les fuites touchent autant les données externes que les données RH internes des organisations.

Mais le chiffre le plus sensible est ailleurs : 113 brèches concernent des catégories spéciales, c'est-à-dire des données particulièrement protégées. Et parmi celles-ci, 105 cas concernent des données de santé qu'il s'agisse de patients (80) ou d'employés (25). Suivent les données d'affiliation syndicale (11), génétiques (6), d'origine raciale ou ethnique (5), et plus rarement les données relatives à la religion, la vie sexuelle ou les opinions politiques.

Sur la sévérité des conséquences, le tableau est contrasté : 311 brèches sont classées en gravité faible, 98 en gravité moyenne, et 23 en gravité élevée. À noter, 69 cas dont les conséquences restent indéterminées, un angle mort qui mérite vigilance.

La cartographie sectorielle est sans ambiguïté. Avec 97 notifications pour le tourisme et 93 pour la santé, ces deux piliers de l'économie espagnole concentrent l'essentiel des incidents. Suivent le commerce (36), l'éducation (24), les services informatiques (21) et les assurances privées (12).

Cette répartition n'est pas neutre. Le secteur touristique manipule d'énormes volumes de données personnelles (passeports, moyens de paiement, données de séjour) souvent partagées entre de multiples partenaires (hôtels, agences, plateformes de réservation). Le secteur santé, lui, traite par nature des données ultra-sensibles, dans des systèmes d'information historiquement hétérogènes et difficiles à sécuriser.

Géographiquement, Madrid (135 notifications), la Catalogne (114) et la Communauté valencienne (52) constituent les épicentres. Le rapport recense également 81 brèches transfrontalières, dont 53 impliquant la France. Un rappel que dans un écosystème européen, le risque ne s'arrête pas aux frontières nationales.

C'est sans doute le chiffre le plus marquant du rapport. Sur les 502 notifications détaillées via le formulaire électronique de l'AEPD :

Autrement dit, environ deux brèches sur trois résultent d'une attaque délibérée. Et lorsqu'on regarde leur typologie, 462 concernent la confidentialité des données (contre 98 pour la disponibilité et 12 pour l'intégrité). En clair : ce ne sont pas des pannes techniques mais des fuites.

Le détail des modes d'attaque est éloquent :

À eux seuls, les trois premiers modes (accès non autorisé, phishing, ransomware) totalisent plus de 500 incidents. Leur point commun : un attaquant qui parvient à accéder à des données réelles stockées dans un système d'information. La question devient alors : ces données devaient-elles vraiment être là, sous leur forme réelle ?

Les statistiques de l'AEPD recensent les brèches affectant les systèmes en production. Mais elles passent sous silence une réalité que tout DSI connaît : les données de production sont systématiquement copiées dans d'autres environnements — développement, test, recette, formation, analytique.

Ces copies posent plusieurs problèmes critiques :

Le RGPD (article 5) impose le principe de minimisation : ne traiter que les données strictement nécessaires à la finalité poursuivie. La LOPDGDD espagnole va plus loin : son article 72 qualifie d'infraction très grave « la reversion délibérée d'un procédé d'anonymisation visant à permettre la réidentification des personnes concernées ». Un signal fort, qui place implicitement la barre haut sur la qualité des techniques utilisées : seule une anonymisation robuste et irréversible offre une vraie protection.

Or, dans la pratique, ce principe de minimisation reste largement inappliqué hors des environnements de production. Un développeur n'a pas besoin de connaître le vrai nom, la vraie adresse ou le vrai numéro de carte d'un client pour tester une fonctionnalité.

Face à ce constat, une mesure se distingue par son efficacité : l'anonymisation irréversible des données. Contrairement aux dispositifs de sécurité qui visent à empêcher l'accès aux données, l'anonymisation agit en amont : elle transforme les données réelles en données fictives, exploitables pour les usages métier mais dépourvues de toute valeur en cas de fuite.

La nuance est fondamentale : une donnée anonymisée qui fuit n'est plus une brèche notifiable. C'est aujourd'hui la seule mesure qui élimine le risque à la source plutôt que de tenter de le contenir.

L'AEPD elle-même promeut activement ces techniques dans sa doctrine, et a publié plusieurs guides méthodologiques sur le sujet. Le régulateur espagnol est l'un des plus avancés en Europe sur la question.

C'est précisément à ce besoin que répond DOT Anonymizer, la solution d'anonymisation développée par ARCAD Software.

Elle est conçue pour s'intégrer dans des systèmes d'information complexes et hétérogènes. Ce type d'environnement est caractéristique des secteurs tourisme, santé, banque ou assurance — précisément ceux pointés par le rapport AEPD.

DOT Anonymizer apporte plusieurs réponses concrètes aux problématiques soulevées :

357 millions de notifications. 68 % d'attaques intentionnelles. Une accélération nette en 2026. Le rapport de l'AEPD ne laisse plus place au doute : les fuites de données sont un phénomène structurel et croissant.

Face à cette réalité, sécuriser les environnements de production est nécessaire, mais pas suffisant. Tant que les données réelles continueront de circuler dans les environnements de test, de développement et de formation, la surface d'attaque restera démultipliée. L'anonymisation est aujourd'hui une réponse viable à la hauteur de l'enjeu.