Email envoyé au mauvais destinataire : la fuite de données la plus fréquente en entreprise

17/03/2026

Colombe de Rouvroy

Quand on parle de cybersécurité, on pense souvent aux ransomwares ou aux hackers. Pourtant, dans la réalité des entreprises, les incidents de sécurité proviennent très souvent… d’erreurs humaines.

L’une des plus fréquentes est l’email envoyé au mauvais destinataire.

Les statistiques des autorités de protection des données montrent que l’envoi de données à un mauvais destinataire est l’incident de sécurité le plus souvent signalé, représentant jusqu’à 16 % des violations déclarées. Data Security: An Analysis of 2023 ICO Breach Reporting

Dans certains cas, une simple erreur peut entraîner :

divulgation de données personnelles
incident RGPD ou LPD
perte de confiance des clients
risques juridiques ou réputationnels

La bonne nouvelle : ces incidents sont parmi les plus faciles à prévenir.

Pourquoi ces erreurs arrivent si souvent

L’email reste l’outil principal de communication en entreprise.

RH, finance, clients, partenaires : tout passe par la messagerie.

Cela crée un terrain idéal pour les erreurs :

auto-complétion des adresses dans Outlook ou Gmail
confusion entre contacts portant des noms similaires
mauvaise pièce jointe
utilisation incorrecte du champ CC ou BCC

Les régulateurs constatent que ces erreurs sont souvent accidentelles mais très fréquentes, notamment à cause de l’auto-remplissage des adresses email. Human Error and Accidental Data Breaches: Lessons from Recent Cases - GRC Solutions

Quand un email devient une violation de données

Un email envoyé au mauvais destinataire peut constituer une violation de données personnelles.

Selon le RGPD, une violation se produit lorsque des données sont divulguées à une personne non autorisée, même par erreur. What is a data breach and what do we have to do in case of a data breach? - European Commission

Si l’incident présente un risque pour les personnes concernées, l’entreprise doit :

documenter l’incident
notifier l’autorité compétente
parfois informer les personnes concernées

La règle est claire : la notification doit être faite dans les 72 heures après la découverte de la violation. Art. 33 GDPR – Notification of a personal data breach to the supervisory authority - General Data Protection Regulation (GDPR)

Que faire si un email est envoyé par erreur

Lorsqu’un incident est détecté, la priorité est de limiter l’impact.

Les étapes recommandées sont généralement :

1. Contenir l’incident

Demander immédiatement au destinataire de supprimer l’email ou les documents envoyés.

2. Documenter la violation

Identifier les données concernées et les personnes impactées.

3. Évaluer le risque

Déterminer si les informations exposées peuvent porter atteinte aux personnes concernées.

4. Décider de la notification

Si le risque est réel, l’incident doit être signalé à l’autorité compétente.

Comment éviter les emails mal adressés

La prévention repose sur trois éléments : technologie, processus et sensibilisation.

Quelques mesures simples réduisent fortement les risques.

Un email envoyé au mauvais destinataire peut suffire à déclencher :

une fuite de données
un incident réglementaire
une perte de confiance

Chez keyIT, nous accompagnons les entreprises dans la sécurisation de leur messagerie et de leurs environnements Microsoft 365. Cela passe notamment par un audit de sécurité Microsoft 365, la mise en place de politiques Data Loss Prevention, et des tests d’intrusion continus pour identifier les vulnérabilités avant les attaquants.