Louis Vuitton (LVMH) : fuite de données clients
Louis Vuitton (LVMH) a subi en 2025 une fuite de données clients touchant le Royaume-Uni, l'Italie et la Suède : noms, coordonnées, dates de naissance exposés.
- Organisation
- Louis Vuitton (groupe LVMH)
- Secteur
- Retail / e-commerce
- Pays
- Royaume-Uni, Italie, Suède (clients UE/Europe) ; incident multi-pays
- Date des faits
- Accès non autorisé le 7 juin 2025, détecté le 2 juillet 2025
- Ampleur
- environ 419 000 clients (chiffre rapporté, tous pays confondus)
- Vecteur
- Sous-traitant / base de données tierce compromise ; attribution alléguée au groupe d'extorsion ShinyHunters (non confirmée officiellement)
- Données exposées
- Noms, Coordonnées (e-mail, téléphone), Adresses postales, Genre, Pays de résidence, Dates de naissance, Historique d'achats / préférences, Numéros de passeport ou de pièce d'identité (selon les rapports, dans certains cas)
En juin-juillet 2025, Louis Vuitton, maison du groupe LVMH, a été victime d’un accès non autorisé à une base de données clients. Selon les communications de l’entreprise relayées par la presse spécialisée, l’accès des attaquants remonterait au 7 juin 2025 et aurait été détecté le 2 juillet 2025. L’incident a donné lieu à plusieurs notifications régionales reconnues par l’entreprise comme étant liées à une même cyberattaque visant des entités du groupe.
L’incident expose des données de personnes en Europe : les clients du Royaume-Uni, d’Italie et de Suède figurent parmi les populations concernées, aux côtés de clients de Corée du Sud et de Turquie. Pour le Royaume-Uni, Louis Vuitton indique avoir notifié l’Information Commissioner’s Office (ICO), l’autorité britannique de protection des données. Les données concernées comprennent les noms, le genre, le pays, les coordonnées (e-mail, téléphone), les adresses postales, les dates de naissance et l’historique d’achats ; selon plusieurs rapports, des numéros de passeport ou de pièce d’identité auraient également été exposés dans certains cas. L’entreprise affirme qu’aucune donnée de paiement ni mot de passe n’a été compromis.
Un chiffre d’environ 419 000 clients touchés (tous pays confondus) est rapporté par la presse et des sources juridiques, sans ventilation officielle par pays publiée par Louis Vuitton ; cette fourchette doit être considérée avec prudence, notamment pour la part strictement européenne. La vulnérabilité exploitée pointerait vers la compromission d’une base de données d’un prestataire tiers ; plusieurs sources de sécurité attribuent l’opération au groupe d’extorsion ShinyHunters, attribution qui n’est pas confirmée officiellement par l’entreprise.
À ce stade, aucune sanction d’une autorité européenne de protection des données (CNIL ou autre DPA) n’a été identifiée pour cet incident précis, à distinguer de l’amende prononcée en Corée du Sud à l’encontre de marques du groupe LVMH. L’incident s’inscrit dans une série d’attaques ayant visé plusieurs maisons du groupe (Dior, Tiffany) au cours de l’année 2025.
Sources
- SecurityWeek, Louis Vuitton Data Breach Hits Customers in Several Countries
- BleepingComputer, Louis Vuitton says regional data breaches tied to same cyberattack
- Infosecurity Magazine, Louis Vuitton UK Latest Retailer Hit by Data Breach
- ClassAction.org, Louis Vuitton Data Breach Exposes DOBs, Passport Numbers and More
- Luxury retailer LVMH says UK customer data was stolen in cyber attack, Computer Weekly
- Louis Vuitton Confirms Data Breach in Multiple Countries Stemming from a Single Incident, Likely Linked to ShinyHunters, ThaiCERT