Paie

API DPAE : alerte sur les données des salariés récemment embauchés

12 millions de salariés sont concernés par une compromission d’accès à un connecteur logiciel de la déclaration préalable à l’embauche (DPAE) gérée par l’Urssaf. Voici les éléments communiqués au nom de la vigilance face au risque d’exploitation détournée de données personnelles.

Alerte Urssaf et DPAE : pourquoi les salariés récemment embauchés doivent se montrer vigilants - © D.R.
Alerte Urssaf et DPAE : pourquoi les salariés récemment embauchés doivent se montrer vigilants - © D.R.

Prudence et vigilance pour les 12 millions de salariés ayant fait l’objet d’une nouvelle embauche depuis moins de 3 ans.

C’est le mot d’ordre diffusé le 19 janvier 2026 par l’Urssaf à la suite d’un accès frauduleux à l’API [connecteur logiciel] de la DPAE (“déclaration préalable à l’embauche”).

Pour rappel, cette formalité est obligatoire pour tout candidat en cours de recrutement. Elle doit être réalisée dans un délai de 8 jours avant l’embauche.

API DPAE : le contexte de l’accès au compte partenaire compromis

  • L’Urssaf a constaté un accès non autorisé à l’API contenant certaines données de la DPAE. Le contournement a été opéré via un compte partenaire institutionnel habilité dont les identifiants avaient été compromis.
  • Selon les premiers éléments de l’enquête, les identifiants de connexion liés à ce compte avaient été volés lors d’un acte de cyber malveillance antérieur visant ce partenaire. Les systèmes d’information de l’Urssaf n’ont pas été compromis.
  • Dès l’identification de l’incident, l’Urssaf a immédiatement pris les mesures nécessaires pour identifier les causes, suspendre les accès du compte compromis, renforcer la protection des systèmes d’information et revoir la sécurisation des habilitations des partenaires.
  • Conformément à ses obligations légales, l’Urssaf a notifié cette consultation frauduleuse et potentiel vol de données à la Cnil et à l’Anssi. Une plainte pénale a été déposée auprès du procureur de la République.

Les risques sur les salariés récemment embauchés

Coté salarié

Selon l’Urssaf, il faut se montrer sur l’éventuellement exploitation des données consultées ou collectées via la DPAE sous la forme d’opération d’hameçonnage [phishing].

Voici les données consultées et potentiellement extraites :

  • nom,
  • prénom,
  • date de naissance,
  • Siret de l’employeur,
  • date d’embauche.

Les numéros de Sécurité sociale, numéros de téléphone, coordonnées bancaires, adresses e-mail ou postales ne seraient concernés, assure l’Urssaf.

Côté employeur

Les employeurs peuvent donc continuer à utiliser le service de déclaration préalable à l’embauche comme habituellement.

Rappelons les 2 principales missions de collecte et de redistribution de l’Urssaf :

  • « collecter et redistribuer les cotisations et contributions sociales afin de garantir les droits sociaux et l’équité entre tous les acteurs économiques » ;
  • « accompagner les employeurs et entrepreneur au développement économique et social de leur entreprise ».