Le géant brésilien de la livraison de repas iFood a officiellement admis une fuite de données ayant exposé les informations personnelles de 1,2 million d’utilisateurs. L’incident, survenu en décembre 2025, a été qualifié par l’entreprise d’« isolé » et rapidement contenu via ses protocoles de sécurité. Selon la compagnie, seuls environ 2 % de sa base totale de clients ont été touchés. La révélation a été faite le mercredi 3 juin 2026 dans un communiqué officiel, près de six mois après les faits.
Un incident aux ramifications limitées, selon iFood
iFood affirme que les données dérobées concernent principalement les noms complets et les CPF (équivalent brésilien du numéro de sécurité sociale) des utilisateurs concernés. La société assure qu’aucun mot de passe, information bancaire ou donnée de paiement n’a été compromis. Elle précise également qu’il n’existe aucune preuve que des transactions sur la plateforme aient été consultées illicitement. Cette classification vise à minimiser la portée réelle du sinistre.
Des mesures conformes à la LGPD
Dans son communiqué, iFood souligne avoir suivi les procédures exigées par la Loi générale sur la protection des données (LGPD) brésilienne. L’entreprise justifie sa décision de ne pas informer directement les clients en invoquant une évaluation interne : l’incident ne présenterait pas un risque ou un préjudice « pertinent » pour les personnes touchées. Elle mentionne les critères de la Autorité nationale de protection des données (ANPD) pour étayer cette approche. Cette posture interroge sur l’interprétation des seuils de gravité prévus par la loi.
Silence sur les causes et les responsables
Le communiqué d’iFood ne précise pas si l’incident a été signalé à l’ANPD ou à d’autres autorités compétentes. L’origine de la fuite reste inconnue, tout comme l’identité des auteurs présumés. La société se contente de recommander aux clients de se méfier de toute communication non officielle. Elle rappelle que seuls ses canaux légitimes doivent être considérés comme fiables.
Réactions des experts en cybersécurité
Des spécialistes consultés par The Premise News estiment que l’exposition des CPF et des noms ouvre la voie à des campagnes d’ingénierie sociale ciblées. Même si les mots de passe et les données financières n’ont pas fuité, le CPF est un identifiant clé pour de nombreuses procédures au Brésil. iFood maintient sa position : aucun dommage significatif n’a été causé aux utilisateurs. Ce choix pourrait relancer le débat sur la manière dont les entreprises évaluent les risques sous le régime de la LGPD.
La question demeure : pourquoi avoir attendu six mois pour reconnaître publiquement la fuite ? iFood n’a pas fourni de calendrier précis sur ses actions correctives. L’entreprise n’a pas non plus indiqué si elle comptait notifier individuellement les 1,2 million de personnes concernées. Cette absence de transparence nourrit l’inquiétude chez les défenseurs des droits numériques.
Au-delà des aspects techniques, c’est la relation de confiance entre les plateformes et leurs utilisateurs qui est en jeu. iFood assure que toutes ses communications officielles empruntent des canaux bien identifiés. Pourtant, sans information directe, les clients ignorent s’ils font partie des personnes exposées. Cette zone grise pourrait fragiliser la crédibilité de l’entreprise à long terme.