Que faire après une fuite de données personnelles

Votre adresse email apparaît dans une fuite de données ? Une entreprise vous informe que vos informations ont été compromises ? Pas de panique, mais agissez vite. Ce guide vous explique exactement quoi faire, étape par étape.

Comprendre ce qu'est une fuite de données

Une fuite de données (ou data breach) se produit quand des informations personnelles stockées par une entreprise sont volées ou exposées accidentellement. Les données peuvent inclure :

Adresses email et mots de passe
Noms, prénoms, dates de naissance
Adresses postales et numéros de téléphone
Numéros de carte bancaire
Numéros de sécurité sociale
Documents d'identité

Fuites majeures récentes en France

| Entreprise | Date | Données exposées | Personnes touchées | |-----------|------|------------------|-------------------| | France Travail | 2024 | Nom, NIR, email, téléphone | 43 millions | | Viamedis/Almerys | 2024 | Numéro sécu, état civil | 33 millions | | Free | 2024 | IBAN, email, téléphone | 19 millions | | SFR | 2024 | IBAN, informations personnelles | 3,6 millions |

LA RÉALITÉ

En 2025, la quasi-totalité des Français a été touchée par au moins une fuite de données. Ce n'est pas une question de "si" mais de "quand". La bonne nouvelle : des actions simples réduisent considérablement les risques.

Étape 1 : Vérifier si vous êtes concerné

HaveIBeenPwned (gratuit)

Le site de référence mondiale pour vérifier si vos données ont fuité :

Allez sur haveibeenpwned.com
Entrez votre adresse email
Le site affiche toutes les fuites qui contiennent votre email
Inscrivez-vous aux alertes gratuites pour être prévenu des futures fuites

Vérifiez aussi :

Vos autres adresses email (anciennes adresses, adresses professionnelles)
Votre numéro de téléphone (dans l'onglet dédié)

Les notifications d'entreprise

En vertu du RGPD, les entreprises sont obligées de vous informer si vos données ont été compromises dans une fuite présentant un risque élevé. Si vous recevez un tel email :

Vérifiez l'authenticité du message (ne cliquez pas sur les liens, allez directement sur le site officiel de l'entreprise)
Notez quelles données ont été compromises
Suivez les recommandations spécifiques de l'entreprise

ATTENTION AU PHISHING

Des escrocs envoient de faux emails de notification de fuite pour vous pousser à cliquer sur des liens piégés. Vérifiez toujours en vous rendant directement sur le site officiel de l'entreprise, sans cliquer sur les liens de l'email.

Étape 2 : Actions immédiates selon les données compromises

Si vos mots de passe ont fuité

Urgence maximale :

Changez immédiatement le mot de passe du compte concerné
Changez aussi le mot de passe de tous les comptes utilisant le même mot de passe
Commencez par l'email : si votre email est compromis, le pirate peut réinitialiser tous vos autres comptes
Activez la 2FA sur tous les comptes importants
Adoptez un gestionnaire de mots de passe pour ne plus jamais réutiliser un mot de passe

Consultez notre guide complet : Comment sécuriser tous vos comptes en ligne

Si votre email a fuité (sans mot de passe)

Attendez-vous à du spam et du phishing ciblé
Soyez particulièrement vigilant sur les emails suspects dans les semaines suivantes
Renforcez la sécurité de votre compte email (2FA, mot de passe fort)

Les escrocs utilisent les emails issus de fuites pour envoyer du phishing personnalisé :

Si votre numéro de téléphone a fuité

Attendez-vous à des SMS frauduleux et des appels de démarchage
Inscrivez-vous sur Bloctel si ce n'est pas déjà fait
Soyez vigilant face aux tentatives de SIM swapping
Ne rappelez jamais un numéro inconnu sans le vérifier

Si votre IBAN a fuité

Prévenez votre banque immédiatement
Demandez la mise en place d'une liste blanche de prélèvements (seuls les créanciers autorisés peuvent prélever)
Surveillez vos relevés quotidiennement pendant plusieurs mois
Contestez tout prélèvement non autorisé dans un délai de 13 mois
Vérifiez régulièrement les mandats de prélèvement actifs sur votre espace bancaire

BON À SAVOIR

Un IBAN seul ne permet pas de vider votre compte. Il faut un mandat de prélèvement signé. Mais combiné avec d'autres données (nom, adresse), un escroc peut tenter de mettre en place des prélèvements frauduleux. La vigilance sur vos relevés est essentielle.

Si votre numéro de sécurité sociale a fuité

C'est la fuite la plus dangereuse pour l'usurpation d'identité :

Surveillez votre compte Ameli : vérifiez qu'aucune modification n'a été faite
Changez le mot de passe de votre compte Ameli
Vérifiez vos remboursements : aucune prestation anormale ?
Signalez à la CPAM par courrier recommandé
Restez vigilant pendant plusieurs années (le NIR ne change pas)

Si vos documents d'identité ont fuité

Déposez une pré-plainte sur pre-plainte-en-ligne.gouv.fr
Signalez sur le dispositif de lutte contre la fraude documentaire
Demandez le renouvellement de vos documents d'identité
Inscrivez-vous sur le fichier des documents perdus ou volés

Étape 3 : Surveiller vos comptes et votre identité

Surveillance bancaire

Activez les alertes par SMS/notification pour chaque opération
Consultez vos relevés quotidiennement pendant les 3 premiers mois
Vérifiez les prélèvements automatiques : repérez tout nouveau mandat
Testez l'accès à votre espace bancaire en ligne régulièrement

Surveillance de l'identité

Consultez le fichier FICOBA via le site des impôts pour vérifier qu'aucun compte n'a été ouvert à votre nom
Surveillez votre boîte aux lettres physique : des courriers d'organismes inconnus peuvent indiquer une usurpation
Vérifiez votre dossier de crédit auprès de la Banque de France

Outils de surveillance automatique

| Outil | Ce qu'il surveille | Prix | |-------|-------------------|------| | HaveIBeenPwned (alertes email) | Fuites contenant votre email | Gratuit | | Firefox Monitor | Fuites de données | Gratuit | | Dashlane (dark web monitoring) | Vos identifiants sur le dark web | Inclus dans l'abonnement | | Bitwarden (data breach reports) | Mots de passe compromis | Version premium |

Étape 4 : Porter plainte et signaler

Plainte CNIL

Si l'entreprise responsable de la fuite n'a pas respecté ses obligations RGPD :

Rendez-vous sur cnil.fr/plaintes
Remplissez le formulaire en ligne
Joignez les preuves (notification reçue, captures d'écran)

La CNIL peut :

Contrôler l'entreprise
Imposer des sanctions (jusqu'à 4% du chiffre d'affaires mondial)
Ordonner la mise en conformité

Plainte pénale

Si vos données ont été utilisées frauduleusement :

Pré-plainte en ligne sur pre-plainte-en-ligne.gouv.fr
Puis confirmez au commissariat ou à la gendarmerie
Apportez toutes les preuves d'utilisation frauduleuse

Signalement Cybermalveillance

Le site cybermalveillance.gouv.fr propose :

Un diagnostic personnalisé de votre situation
Des conseils adaptés
L'orientation vers des professionnels si nécessaire

Consultez aussi notre guide : Comment signaler une arnaque

Prévenir l'usurpation d'identité

Les signes d'une usurpation en cours

Soyez attentif à ces signaux :

Courriers d'organismes de crédit que vous n'avez pas contactés
Relances pour des dettes que vous n'avez pas contractées
Refus de crédit inexpliqué
Convocations administratives ou judiciaires surprenantes
Modifications non sollicitées sur vos comptes en ligne
Nouveau compte bancaire ouvert à votre nom

AGISSEZ VITE

Si vous constatez des signes d'usurpation d'identité, portez plainte immédiatement et contactez la Banque de France pour signaler la fraude. Plus vous réagissez vite, plus les dégâts sont limités.

Mesures de protection proactives

Filigrane vos documents : quand vous envoyez une copie de pièce d'identité, ajoutez un filigrane "Copie pour [nom de l'entreprise] - [date]" en travers du document
Limitez le partage : ne donnez votre NIR qu'aux organismes qui en ont légalement besoin
Utilisez des alias email : services comme SimpleLogin ou adresses +tag de Gmail
Réduisez votre empreinte numérique : supprimez les comptes inutilisés
Vérifiez vos paramètres de confidentialité sur les réseaux sociaux

Surveillance à long terme

Les 3 premiers mois (phase critique)

Surveillance quotidienne des comptes bancaires
Vérification hebdomadaire des emails suspects
Changement de tous les mots de passe compromis
Activation de la 2FA partout

De 3 à 12 mois

Surveillance hebdomadaire des relevés bancaires
Vérification mensuelle sur HaveIBeenPwned
Attention aux courriers inhabituels
Vérification du dossier de crédit

Au-delà d'un an

Surveillance mensuelle continue des comptes
Revérification annuelle sur HaveIBeenPwned
Maintien des bonnes pratiques de sécurité

RAPPEL IMPORTANT

Certaines données comme le numéro de sécurité sociale ne changent jamais. La vigilance doit être permanente, même des années après la fuite initiale.

Vos droits RGPD

En tant que citoyen européen, vous avez des droits face aux fuites de données :

| Droit | Description | Comment l'exercer | |-------|-------------|-------------------| | Droit d'information | Être informé de la fuite | L'entreprise doit vous notifier | | Droit d'accès | Savoir quelles données étaient stockées | Email au DPO de l'entreprise | | Droit de suppression | Demander l'effacement de vos données | Email au DPO + plainte CNIL si refus | | Droit à réparation | Obtenir une indemnisation du préjudice | Action en justice ou action de groupe |

À retenir : Une fuite de données n'est pas de votre faute, mais les conséquences sont votre responsabilité. En suivant ce guide méthodiquement, vous réduisez considérablement les risques d'exploitation de vos données.

Ressources complémentaires

Que faire si vous êtes victime d'une arnaque - Démarches complètes
Comment sécuriser tous vos comptes en ligne - Mots de passe et 2FA
Arnaque au faux conseiller bancaire - Les escrocs exploitent les fuites
Phishing généré par IA - Phishing ciblé avec vos données
Arnaque au SIM swapping - Vol de numéro de téléphone