O'Tacos : fuite alléguée de données clients
Une base de données clients O'Tacos, jusqu'à 29 millions de profils, aurait été mise en vente sur un forum fin janvier 2026. Incident non confirmé officiellement.
- Organisation
- O'Tacos
- Secteur
- Retail / e-commerce
- Pays
- France
- Date des faits
- janvier 2026 (révélation le 27 janvier 2026)
- Ampleur
- Entre 10 et 29 millions de profils selon les sources (10 millions avec identité complète, 29 millions d'enregistrements au total)
- Vecteur
- Extraction et mise en vente d'une base de données clients sur un forum cybercriminel ; les données proviendraient du programme de fidélité et de l'application mobile
- Données exposées
- Nom, Prénom, Adresse e-mail, Données de carte de fidélité, Pays, Date de création du compte, Métadonnées techniques de l'application mobile
Fin janvier 2026, plusieurs sources de veille en cybersécurité ont signalé la mise en vente, sur un forum cybercriminel, d’une base de données attribuée à la chaîne de restauration rapide O’Tacos. Selon ces sources, l’archive d’environ 9 Go au format JSON contiendrait jusqu’à 29 millions d’enregistrements, dont environ 10 millions assortis d’une identité complète. Les données concerneraient les marchés où l’enseigne est présente, notamment la France, la Belgique, le Maroc et le Canada, ce qui place des personnes résidant en France et en Europe parmi les personnes potentiellement concernées.
Les informations exposées porteraient principalement sur des éléments du programme de fidélité et de l’application mobile : nom, prénom, adresse e-mail, données de carte de fidélité, pays et date de création du compte, ainsi que des métadonnées techniques. La date de révélation publique retenue est le 27 janvier 2026. Le média spécialisé Cryptoast cite explicitement O’Tacos dans un panorama des fuites de janvier 2026 en évoquant 29 millions de profils clients, ce qui recoupe les chiffres avancés par les agrégateurs de veille.
À ce stade, l’incident reste alléué et n’a pas fait l’objet d’une confirmation officielle. Aucun communiqué d’O’Tacos relatif à cette fuite, ni aucune notification publique de la CNIL spécifique à ce cas, n’ont pu être identifiés. Les grands titres de la presse cybersécurité francophone, comme ZATAZ ou Numerama, ne semblent pas avoir traité l’affaire de manière dédiée, et plusieurs récapitulatifs d’attaques de 2026 ne mentionnent pas l’enseigne. La fourchette de personnes concernées doit donc être considérée avec prudence.
En l’absence de vérification indépendante des données elles-mêmes, il convient de rester réservé sur l’ampleur réelle de la fuite et sur l’authenticité du jeu de données proposé à la vente. Les personnes susceptibles d’être concernées peuvent, par précaution, se méfier des courriels d’hameçonnage usurpant l’enseigne et surveiller toute activité inhabituelle liée à leur compte de fidélité.
Sources
- 90 millions de comptes en un mois : l'ampleur des fuites de données en France (cite explicitement O'Tacos, 29 millions de profils clients)
- Fuite de données : O'Tacos du 27 janvier 2026 (agrégateur de veille FrenchBreaches)
- Fuites Infos : recensement des fuites de données en France (agrégateur, piste initiale)