Le groupe américain de paiements en ligne PayPal a révélé avoir exposé, pendant près de six mois en 2025, les données personnelles d’un nombre limité de clients à la suite d’une erreur technique affectant son service de prêts aux petites entreprises.

L’incident concerne l’application PayPal Working Capital (PPWC), qui permet aux entrepreneurs d’accéder rapidement à des financements. Selon l’entreprise, une modification de code défectueuse a rendu accessibles à des tiers non autorisés certaines informations sensibles entre le 1er juillet et le 13 décembre 2025. La faille a été détectée le 12 décembre.

Données sensibles concernées

Les informations exposées comprennent notamment les noms, adresses électroniques, numéros de téléphone, adresses professionnelles, dates de naissance et numéros de sécurité sociale des clients concernés.

Dans les lettres de notification adressées aux utilisateurs impactés, PayPal évoque « un petit nombre de clients ». Après la publication de l’information, un porte-parole a précisé qu’environ 100 personnes seraient concernées et que les systèmes centraux de l’entreprise n’avaient pas été compromis par une intrusion externe.

« Lorsqu’il existe une exposition potentielle de données clients, nous sommes tenus d’en informer les personnes concernées », a indiqué le groupe, insistant sur le caractère accidentel de l’incident.

Correctifs et mesures d’accompagnement

PayPal affirme avoir annulé immédiatement la modification de code à l’origine du problème, bloquant ainsi tout accès supplémentaire aux données dès le lendemain de sa découverte.

L’entreprise a également détecté des transactions non autorisées sur certains comptes et procédé aux remboursements nécessaires.

Pour limiter les risques d’usurpation d’identité, le groupe propose aux clients concernés deux ans de surveillance gratuite de leur crédit via Equifax, incluant des services de restauration d’identité. Les utilisateurs sont invités à surveiller leurs relevés bancaires et à rester vigilants face aux tentatives d’hameçonnage, fréquentes après ce type d’annonce.

Tous les mots de passe des comptes affectés ont été réinitialisés.

Un nouvel épisode dans un contexte sensible

Cette divulgation intervient dans un contexte déjà délicat pour PayPal en matière de cybersécurité. En janvier 2023, l’entreprise avait annoncé qu’une attaque par « credential stuffing » avait compromis environ 35 000 comptes fin 2022. Deux ans plus tard, en janvier 2025, l’État de New York avait conclu un accord transactionnel de deux millions de dollars avec la société, estimant qu’elle n’avait pas respecté certaines exigences réglementaires en matière de sécurité informatique.

Bien que l’ampleur de la fuite révélée en 2025 soit limitée, l’incident rappelle la vulnérabilité persistante des données personnelles dans le secteur des technologies financières, où la confiance des utilisateurs demeure un enjeu stratégique majeur.