Fuite de données personnelles : comment réagir sans paniquer

"Un incident de cybersécurité de type ransomware a récemment affecté une partie de notre système d’information : certaines de vos données sont concernées." Voilà une phrase anxiogène, qui apparaît de plus en plus souvent dans les messages qui nous sont adressés. Lorsque cela se produit, voici comment réagir concrètement.

Domaine

Éthique

Thématiques

Cyber-sécuritéImpactDonnées personnelles

Par Charlotte Leriche

10 février 2026

16 min

Partager cet article

Sur les réseaux sociaux

Crédit : Wesley Tingey

Les fuites de données s'enchaînent et se multiplient. Avec ses 90 millions de colis traités chaque année, Colis Privé avait déjà subi une attaque en 2021. En octobre 2025, France Travail a de nouveau été victime d'une fuite de données, la troisième après la fuite massive de juillet 2025 et celle de février 2024. Le 14 novembre 2025, "jusqu'à 1,2 million de salariés de particuliers employeurs" ont été concerné·es par une fuite de données sur Pajemploi, le service de l'Union de recouvrement des cotisations de sécurité sociale et d'allocations familiales (URSSAF) dédié à la déclaration et la rémunération des assistant·es maternel·les et gardes d'enfants à domicile.

Coté opérateurs téléphoniques (Orange, Free, Bouygues Telecoms, SFR...) : tous ont quasiment été touchés au moins une fois en 2 ans. Sans oublier les plus de 33 millions de personnes concernées par la violation de données ayant affectée Viamedis et Almerys (deux opérateurs chargés du tiers payant pour le compte de complémentaires santé) en 2024. Il est donc fort probable que nos données aient été concernées à un moment ou à un autre par une fuite de données. Comment réagir quand cela nous arrive ?

Qu’est-ce qu’une fuite (ou violation) de données personnelles ?

Il s'agit d'« une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. »

Règlement Général sur la protection des données (RGPD)

Concrètement, les données concernées "fuitent" du fait d’un accès ou d’une divulgation non autorisés. L’origine de cette fuite peut être :

  • accidentelle : par exemple, un envoi de mail contenant des informations personnelles au⸱à la mauvais⸱e destinataire.
  • malveillante : par exemple, une cyberattaque via l’introduction d’un tiers dans la base de données.

Cet article est gratuit

Aidez-nous pour que ça le reste !

Je fais un don

Comment savoir si mes données ont fuité ?

Si la fuite de données engendre un risque élevé pour les droits et libertés (par exemple usurpation d’identité, perte financière ou atteinte à la réputation), l’entreprise a l’obligation d’informer les personnes concernées dans les meilleurs délais (d'après l'article 34 du RGPD). La communication peut se faire par envoi direct aux personnes (e-mail, SMS...) ou via une information générale sur le site tel un bandeau d'alerte (uniquement en cas d’absence d’éléments permettant de contacter les personnes concernées).

Afin d’informer au mieux les personnes, la communication doit a minima contenir et exposer, en des termes clairs et simples (selon l'article 33 du RGPD) :

  • la nature de la violation,
  • les conséquences probables de la violation,
  • les coordonnées de la personne à contacter (Délégué à la Protection des Données ou autre contact),
  • les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

Cette information est souvent complétée de recommandations à destination des personnes concernées, afin d’atténuer les risques et conséquences de la violation. Par exemple, il peut être demandé aux utilisateurs·rices de changer leur mot de passe, de vérifier l’intégrité de leur données présentes sur leur compte en ligne ou encore d’être d’autant plus vigilant·e aux mails de phishing (technique d'escroquerie visant à pousser les internautes à divulguer des informations personnelles).

Quels risques si je suis victime d'une fuite de mes données ?

Selon les cas et la nature des informations divulguées, une fuite de données personnelles peut avoir de multiples conséquences : usurpation d’identité, cyberharcèlement, piratage des comptes en ligne, hameçonnage (phishing) ciblé, tentative d’escroquerie, fraude, extorsion, atteinte à l’image ou à la réputation. Les données peuvent également être revendues à d’autres cybercriminel⸱les.

Au travers d’un sondage, la Commission Nationale de l’Informatique et des Libertés (CNIL) a entrepris de « mieux quantifier les coûts des différents préjudices » pour les personnes (perte financière, changement de comportement) associés à l’utilisation frauduleuse de données personnelles.

Les résultats de ce sondage montrent que 41 % des répondants ont subi au moins une utilisation frauduleuse de leurs données personnelles au cours des trois dernières années. Parmi eux, 21 % ont subi un préjudice financier.

CNIL

« Tous cas confondus, le préjudice financier moyen déclaré est de 740 euros. L’atteinte menant au préjudice financier moyen le plus élevé est la fraude à l’identité (915 euros). Plus d’1 personne sur 2 ayant subi un préjudice au cours des trois dernières années a renoncé à utiliser un service numérique par la suite. »

UTILISATION FRAUDULEUSE DES DONNÉES PERSONNELLESPRÉVALENCEPART MENANT À UN PRÉJUDICEPART MENANT À UN PRÉJUDICE MORAL (STRESS, ANXIÉTÉ)PART MENANT À UN PRÉJUDICE FINANCIERPRÉJUDICE FINANCIER MOYEN
Une fraude à l'identité16 %70 %28 %24 %915 €
Un démarchage non sollicité24 %35 %15 %29 %691 €
Une fraude ou tentative de fraude financière5 %65 %26 %75 %592 €
Divulgation d'informations « compromettantes »7 %76 %27 %18 %609 €
Du chantage ou du harcelement4 %71 %19 %13 %450 €
Utilisations frauduleuses des données personnelles perçues lors des trois dernières années par les répondants d’un sondage de Harris Interactive (demandé par la CNIL) réalisé en ligne du 18 au 23 décembre 2024, sur un échantillon représentatif de 2 082 français⸱es âgé⸱es de 15 ans et plus

Que faire en cas de fuite de données personnelles ?

Si vous êtes informé⸱e d’une possible violation de vos données personnelles, voici les principales mesures que vous pouvez prendre (à adapter selon la nature des données concernées et le type de violation) :

  • Changez votre mot de passe sur tous les sites ou comptes sur lesquels vous l’utilisez, la bonne pratique étant de ne pas utiliser deux fois le même mot de passe. En cas de fuite, l'usage d'un mot de passe identique permet aux cybercriminel⸱les d'accéder à tous vos comptes et donc d'aggraver la quantité de données diffusées.
  • Redoublez de vigilance face aux appels téléphoniques ou messages demandant des informations confidentielles (codes, mots de passe, numéros de carte bancaire, copies de documents d’identité…) ou la validation d’opérations bancaires (souvent "urgentes"). En cas de doute, contactez l’organisme concerné pour demander confirmation de la provenance du message ou de l’appel reçu.
  • Vérifier les activités de connexion : vos informations ont pu être modifiées, des commandes peuvent avoir été réalisées. En cas d’activité suspecte, contactez directement l’organisme concerné.
  • Signalez à l’organisme la diffusion non autorisée de vos données, et demandez leur suppression sur les pages, comptes, messages divulguant vos informations personnelles. Voici les liens de signalement pour les principaux réseaux sociaux :
    FacebookTwitter LinkedIn Instagram Snapchat YouTube
  • Demandez le déréférencement de vos données personnelles divulguées. Voici les formulaires de demande de suppression de données personnelles pour les principaux moteurs de recherche :
    Bing Qwant Google Yahoo Autres
  • Déposez plainte auprès de la CNIL si vous estimez que vos données personnelles n’ont pas été suffisamment protégées.
  • Vous avez également la possibilité d’engager une action de groupe ou un recours collectif.

En cas d’utilisation frauduleuse de vos données

Vous pouvez déposer plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez. Vous pouvez également adresser votre plainte par écrit au procureur de la République du tribunal judiciaire dont vous dépendez.

En cas de fuite de vos données bancaires

Surveillez régulièrement vos comptes. Si vous constatez des mouvements bancaires frauduleux, faites opposition immédiatement auprès de votre banque. Vous pouvez également informer votre banque de la divulgation de votre IBAN afin qu’elle renforce sa vigilance sur votre compte. Faites au besoin opposition aux moyens de paiement concernés.

La CNIL a mis a disposition des documents sur les réflexes à adopter en ligne.

Le dispositif national cybermalveillance.gouv.fr a également publié une fiche réflexe sur la fuite ou violation de données personnelles afin d’adopter les bonnes pratiques en matière de sécurisation numérique et savoir réagir si vous en êtes victime.

Comment se prémunir contre les fuites de données personnelles ?

S'il faut connaître les bonnes actions à mener après l’attaque, limiter les risques de fuite de ses données est d’autant plus important. Voici quelques réflexes à adopter en ligne :

  • Minimisez les informations publiées : moins il y aura de données en ligne, plus le risque sera faible en cas de fuite. Dans cette optique, désabonnez-vous ou supprimez les comptes que vous n’utilisez plus et exercez vos droits de suppression de vos données, notamment en vous aidant du modèle de courrier proposé par la CNIL.
  • Restreignez l'accès à vos données : vérifier les paramètres de confidentialité de vos compte (notamment la visibilité privée/publique).
  • Utilisez un canal sécurisé pour transmettre des documents confidentiels (carte d'identité, fiche de paie, avis d'imposition, RIB...). Vous pouvez notamment utiliser le justificatif d’identité à usage unique proposé par France Identité. De manière plus classique, l'ajout d'un filigrane sur vos documents avant envoi peut être également réalisé, notamment en utilisant le service FiligraneFacile mis à disposition par l'Etat.
  • N’enregistrez aucune information (identifiant, mot de passe, coordonnées bancaires...) pour des achats ponctuels sur un site Internet. L'usage d'une "carte virtuelle", utilisable une seule fois avec un montant maximal défini, permet également de limiter le risque en cas de fuite.
  • Sécurisez vos comptes : utilisez des mots de passe différents et complexes pour chaque site et application utilisé⸱e, et activez la double authentification si cela est proposé. Puisque retenir autant de mots de passe peut devenir compliqué, la bonne pratique consiste à adopter un gestionnaire de mot de passe sécurisé et certifié par l'ANSSI (Agence nationale de la sécurité des systèmes d'information), par exemple KeePass, LockPass, etc.
  • Appliquez les mises à jour des logiciels, applications et appareils afin de corriger les failles de sécurité. Il est possible d'activer l'option de mise à jour automatique pour ne plus avoir à y penser !

Pour contribuer à la lutte contre les cyberattaques, vous pouvez également :

  • Signalez tout message ou site douteux à Signal Spam, association française résultant d’un partenariat public-privé. Signalez tous les messages suspects reçus par SMS au 33700, mis en place par l'Association Française pour le développement des services et usages Multimédias Multi-opérateurs (AF2M), en lien avec la Direction Générale de la Consommation, de la Concurrence et de la Répression des Fraudes (DGCCRF).
  • Signalez l’adresse d’un site d’hameçonnage à Phishing Initiative proposé par Orange Cyberdefense.

Références :

Cyberattaques :

Règlementations :

Risques liés à une cyberattaque :

Que faire si je suis victime ?