Cybersécurité

Fuite de données en France : pourquoi l'État centralise ce qu'il ne sait pas protéger (ANTS, France Travail, loi réseaux sociaux)

Emilien Pau
Journaliste RISKINTEL MEDIA
Publié le
19 May 2026
Restez connectés aux idées qui comptent
Recevez nos émissions en avant-première, accédez aux coulisses des débats, et rejoignez les professionnels qui façonnent l’écosystème Cyber, Tech et Défense.
S’inscrire à la newsletter
Flèche violet foncé pointant vers le haut sur un fond blanc.

ANTS, France Travail, Viamedis, Cegedim : en deux ans, plusieurs centaines de millions de données personnelles de Français ont fuité. Pourtant, une loi adoptée en janvier 2026 s'apprête à concentrer les pièces d'identité de tous les Français chez des prestataires privés. Décryptage d'une politique du risque qui aggrave ce qu'elle prétend corriger. 

Il y a quelques semaines, une nouvelle fuite de données a fait scandale. Le 15 avril 2026, l’Agence Nationale des Titres Sécurisés, rebaptisée France Titres, a subi un piratage. Le hacker derrière cette opération a revendiqué avoir exfiltré les données de 19 millions de français. Parmi elles, on peut compter : noms, prénoms, date de naissance, adresse e-mail et identifiants de connexion. Le pirate s’est même permis de provoquer l'État : “Le gouvernement français ferait mieux de se cantonner aux arts culinaires. Leurs défenses informatiques sont aussi friables que leurs croissants”, écrit-il.

La faille utilisée pour ce piratage est une IDOR, une vulnérabilité de niveau débutant. Concrètement, il suffisait simplement de modifier un chiffre dans une URL pour accéder à un compte d’un autre citoyen. Un étudiant en première année d’école en cybersécurité apprend à repérer ce genre de faille dès la première année. Une erreur qui coûte cher avec le nombre astronomique de comptes aspirés et de données volées, désormais en vente pour quelques milliers d’euros. 

La réponse officielle de l’ANTS a été un e-mail envoyé à ses usagers avec cette terminaison : “Vous n’avez ainsi aucune démarche à accomplir”. Or, cet accident est loin d’être un cas isolé. C'est en fait le nouvel épisode d'une séquence qui révèle un problème structurel.

Une France sous les fuites 

En effet, depuis 3 ans, une série de nombreuses fuites a touché la France et ses citoyens. L’un des exemples les plus marquants a été France Travail en mars 2024. 43 millions de français ont été exposés, soit presque toute la population active du pays. Le mode opératoire a été plutôt simple : une usurpation des identifiants d’un conseiller. Or, cette façon d’opérer avait déjà été observée un peu plus tôt, en janvier-février 2024. Viamedis et Almerys, deux opérateurs du tiers payant, ont subi également une usurpation d’identité en l'espace de 5 jours. Résultat : 33 millions de français exposés. 

On peut aussi citer la fuite de données de Cegedim Santé fin 2025 et révélée par France 2 en février 2026. Cet éditeur de logiciel qui équipe des milliers de cabinets médicaux en France a vu 11 à 15 millions des données de citoyens fuiter sur le dark web. Cette fois, la fuite dépasse la sphère administrative. Elle touche l'intime. Cette fuite inclut les annotations personnelles des médecins sur leur patient. Des annotations comme “est porteuse du SIDA” ou “serait homosexuel” ont été observé sur le dark web. Le secret médical, protégé par la Constitution, bafoué en une fraction de seconde.

À lire aussi : Cyber résilience et conformité : levier stratégique ou contrainte réglementaire ? Ce que révèlent les experts

Ce qui relie tous ces incidents est aussi important que les incidents eux-mêmes. Aucune de ces attaques n'a requis un arsenal technique sophistiqué. Pas de faille zero-day à un million de dollars, pas d'opération d'État. Du credential stuffing, du phishing interne, une IDOR. Des techniques documentées, enseignées, détectables. Le problème n'est donc pas la sophistication des attaquants. C'est la faiblesse structurelle des défenses.

Et les conséquences concrètes pour les citoyens dépassent largement l'abstraction. Un nom seul ne vaut rien. Mais un nom associé à un numéro de sécurité sociale, un IBAN, une adresse postale et une annotation médicale confidentielle constitue un kit complet : phishing ultra-ciblé, usurpation d'identité, chantage. Quand les données de détenteurs de cryptomonnaies ont fuité, ce sont des familles entières qui ont été physiquement ciblées par des cambrioleurs. Les données volées ne restent pas sur des forums, elles se transforment en actes.

Un gendarme sans vraie arme

Face à cette accumulation, une autorité est censée faire office de rempart : la Commission Nationale de l'Informatique et des Libertés, la CNIL. Elle enquête, elle instruit, elle sanctionne. Mais regardons les chiffres de près.

En octobre 2024, Free subit une cyberattaque qui expose les données de 19,2 millions d'abonnés, dont 5,1 millions d'IBAN, des coordonnées bancaires complètes dans la nature. La CNIL rend sa décision en janvier 2026 : 42 millions d'euros d'amende, répartis entre Free Mobile et Free. Le groupe Iliad, maison mère de Free, déclare plus de 9 milliards d'euros de chiffre d'affaires annuel. Le RGPD autorise des sanctions allant jusqu'à 4 % du chiffre d'affaires mondial, soit environ 370 millions d'euros dans ce cas. La CNIL s'est arrêtée à 42 millions, soit à peine plus d'un dixième du plafond théorique. Ramenée aux victimes, l'amende représente 2,20 euros par personne exposée.

À lire aussi : Cloud Act, SecNumCloud, IA : pourquoi la souveraineté numérique européenne reste un chantier inachevé

Cegedim Santé, dont la fuite a mis sur le dark web des annotations médicales intimes, a pour sa part écopé de 800 000 euros d'amende pour un groupe pesant plus de 500 millions d'euros de chiffre d'affaires. Les données de santé sont pourtant la catégorie la plus sensible au sens strict du RGPD.

La conclusion s'impose d'elle-même : quand le coût de la non-sécurité reste inférieur au coût de la sécurité, aucune entreprise rationnelle ne surinvestit dans la protection des données. Les multinationales calculent, provisionnent, paient et continuent. La CNIL fait son travail dans le cadre qui lui est fixé, mais ce cadre ne crée pas d'incitation suffisante au changement de comportement. Un radar routier est, proportionnellement, bien plus dissuasif pour un conducteur que ces amendes ne le sont pour un opérateur de données.

La loi sur l'âge : quand la vertu fabrique le risque

C'est dans ce contexte que le Parlement français a adopté en première lecture, le 26 janvier 2026, une proposition de loi interdisant l'accès aux réseaux sociaux aux moins de 15 ans. Entrée en vigueur annoncée : septembre 2026. L'objectif affiché est difficilement attaquable. Soustraire les enfants aux contenus délétères, aux adultes malveillants, aux mécanique d'engagement conçues pour coloniser leur attention. Aucun parent, aucun élu, aucun citoyen ne s'y oppose frontalement.

Sauf que le problème est dans le dispositif. Vérifier qu'un utilisateur a plus de 15 ans implique de vérifier l'âge de tout le monde, mineurs comme adultes, faute de quoi l'interdiction est contournable en quelques secondes. La solution technique retenue : chaque utilisateur soumet un scan de sa pièce d'identité à un organisme tiers accrédité. Celui-ci confirme la majorité, puis transmet aux plateformes une simple attestation. Le tout sous le label rassurant de "double anonymat". Deux mots qui sonnent comme une garantie, mais qui décrivent avant tout une réalité concrète et préoccupante.

À lire aussi : Moltbook et OpenClaw : quand les agents IA deviennent une menace pour la cybersécurité

Cette réalité, la voici : des dizaines de millions de documents d'identité français (cartes nationales, passeports, permis de conduire) vont être numérisés, traités et stockés par un nombre restreint d'acteurs privés. Des entreprises dont personne n'a encore démontré publiquement qu'elles disposent d'une posture de sécurité à la hauteur de l'enjeu. La France est sur le point d'assembler le plus grand réservoir de données biométriques et identitaires jamais constitué hors contrôle direct de l'État.

Des alternatives existent pourtant. Les preuves à divulgation nulle de connaissance offrent précisément la possibilité de certifier qu'un utilisateur dépasse un seuil d'âge sans jamais transmettre ni conserver son identité réelle. Ces protocoles sont déjà opérationnels dans plusieurs pays européens. Ils n'ont pas été retenus dans le dispositif français. La question de savoir pourquoi mériterait à elle seule un débat parlementaire.

Une politique du risque à rebours

Tout professionnel de la sécurité informatique vous dira la même chose : la résilience d'un système se construit par la dispersion, pas par la concentration. Fragmenter les données, multiplier les silos, réduire au strict minimum ce qui est collecté, c'est le triptyque défendu depuis des années par des institutions comme l'ANSSI en France ou l'ENISA à l'échelle européenne. Plus une base est grosse, plus elle est attractive. Plus elle est centralisée, plus une attaque réussie est dévastatrice.

La trajectoire française est l'exact inverse de cette logique, et ce depuis suffisamment longtemps pour exclure l'hypothèse de la simple maladresse. Il y a dans cette centralisation compulsive quelque chose de plus profond qu'un choix technique : un réflexe d'État, hérité d'une culture administrative qui a toujours associé puissance publique et maîtrise des registres. Recenser, unifier, centraliser, c'est une tradition régalienne française bien antérieure au numérique. Elle se prolonge aujourd'hui dans des architectures de données qui font le bonheur des attaquants.

À lire aussi : Ransomware 2026 : industrialisation, guerre économique et stratégies de défense

Le bilan chiffré est sans appel. En agrégeant les fuites documentées depuis 2024, France Travail, Viamedis, Almerys, Cegedim, ANTS, Free, et une liste qui s'allonge chaque trimestre, on obtient un chiffre qui dépasse la population adulte du pays. Statistiquement, chaque Français figure déjà dans au moins une base de données entre les mains de cybercriminels. Ce n'est plus un scénario de risque. C'est le point de départ.

Ce qui manque au débat

Le problème n'est pas qu'un système ait été percé. Aucun système n'est inviolable, et personne de sérieux ne le prétend. Le problème est qu'à chaque brèche, l'architecture sous-jacente reste inchangée et que les lois qui suivent l'aggravent plutôt qu'elles ne la corrigent.

Le réveil semble pourtant avoir eu lieu. Le 30 avril 2026, deux semaines après le piratage de l’ANTS, le Premier ministre Sébastien Lecornu s’est rendu dans les locaux de l’agence, évoquant une « situation assez grave ». L’exécutif a annoncé 200 millions d’euros supplémentaires pour la cybersécurité de l’État, le développement des exercices de red teaming, des simulations de blackout numérique, ainsi qu’un investissement dans la cryptographie post-quantique. Dans le même temps, la directive NIS2, en cours de transposition, introduit un changement majeur : en cas de manquement grave, la responsabilité ne pèsera plus uniquement sur les organisations, mais aussi sur leurs dirigeants à titre personnel.

À lire aussi : Affaire Axios : comment l’Open Source devient la cible des attaques de type supply chain

Yasmine Douadi, CEO et fondatrice de Riskintel Media, pointe également plusieurs angles morts. Affecter les amendes de la CNIL à un fonds cyber dédié constitue une avancée logique, mais encore insuffisante si ce fonds ne sert qu’à protéger l’État. Les données des Français circulent autant dans le privé que dans le public, souvent via des sous-traitants. La question de la sécurisation des TPE et PME, qui forment le ventre mou de la cybersécurité française, reste largement absente. Celle de l’indemnisation des victimes également. Car lorsqu’un citoyen se fait escroquer après une fuite, il est désormais impossible de savoir si l’origine se trouve chez Free, France Travail, l’ANTS, FICOBA ou un acteur de santé. À mesure que les bases s’agrègent et se revendent, la responsabilité devient diffuse tandis que les conséquences, elles, restent bien réelles.

En attendant qu’une doctrine cohérente émerge enfin, quelques mesures simples permettent malgré tout de réduire drastiquement son exposition. Activer la double authentification, en priorité sur FranceConnect. Apprendre à reconnaître le phishing ciblé, aucune administration française ne demandera jamais un mot de passe ou une copie de pièce d’identité par mail ou SMS. Surveiller régulièrement ses comptes bancaires et connaître ses droits : en France, une opération frauduleuse peut être contestée jusqu’à treize mois après son exécution. Enfin, vérifier dans quelles fuites ses données apparaissent déjà via Have I Been Pwned ou Mozilla Monitor. La plupart des Français figurent déjà dans plusieurs bases compromises.

Ces gestes ne remplaceront jamais une politique publique cohérente. Mais dans un écosystème où la donnée personnelle circule désormais comme une marchandise, ils permettent au moins de passer d’une cible facile à une cible moins rentable. Et, aujourd’hui, c’est déjà une forme de résilience.

Emilien Pau
Journaliste RISKINTEL MEDIA
Restez connectés aux idées qui comptent
Recevez nos émissions en avant-première, accédez aux coulisses des débats, et rejoignez les professionnels qui façonnent l’écosystème Cyber, Tech et Défense.
S’inscrire à la newsletter
Flèche violette pointant vers le coin supérieur droit.
Logo Riskintel Media.Logo du Risk Summit avec un bouclier bleu et rouge à gauche du texte.
NOUS SUIVRE
Logo LinkedInIcône de l’application Instagram avec un motif d’appareil photo simple dans un carré aux coins arrondis.
Entrez en relation avec Riskintel
* Champs obligatoires
Merci ! Votre message a bien été envoyé !
Oups ! Une erreur est survenue, veuillez réessayer.
Mentions Légales
Site réalisé par ICONOKOM : Agence Webflow Lille & Paris