Fuite de données personnelles : que faire si vous êtes victime (démarches 72h)

6/5/2026
Tous les guides
🛡️ Sécurité

Vous avez reçu une notification ou vous suspectez une fuite vous concernant

Free, France Travail, Auchan, Cultura, la CAF — depuis 2024, des millions de Français ont reçu un email ou un SMS signalant que leurs données personnelles avaient été compromises. D'autres découvrent par hasard que leurs informations circulent sur internet, sans avoir été prévenus. Dans les deux cas, la question est la même : que faire maintenant ?

Ce guide est écrit pour vous — particulier victime ou potentiellement victime d'une fuite de données personnelles. Il vous explique étape par étape comment confirmer la fuite, ce que vous devez faire dans les premières 72 heures, comment porter plainte, et comment obtenir réparation si vous avez subi un préjudice.

💡 Vous êtes DPO ou responsable de traitement cherchant les obligations légales de votre organisation ? Ce guide ne s'adresse pas à vous. Consultez notre guide sur la détection et l'identification d'une violation de données (Page 1) et notre guide sur les obligations RGPD en cas de violation de données (Page 3 — notification CNIL, art. 33 et 34).

Comment savoir si vous êtes victime d'une fuite de données ?

Avant d'agir, vous devez confirmer que vos données font partie des informations compromises. Voici les trois sources de vérification les plus fiables.

Vérifiez sur Have I Been Pwned

Le site haveibeenpwned.com est la référence mondiale pour savoir si votre adresse e-mail a été exposée dans une fuite de données répertoriée. Entrez simplement votre adresse e-mail : le service compare instantanément votre adresse à des centaines de bases de données compromises, sans stocker votre adresse ni la transmettre à des tiers.

Si votre adresse apparaît dans les résultats, le site vous indique :

  • Le nom de l'entreprise ou du service concerné
  • La date approximative de la fuite
  • Les catégories de données exposées (email, mot de passe, téléphone, adresse, données bancaires, etc.)

Le service est entièrement gratuit. Vous pouvez également vous abonner gratuitement pour recevoir une alerte automatique par e-mail si votre adresse apparaît dans une nouvelle fuite identifiée. C'est une précaution utile à prendre même si vous n'avez rien détecté aujourd'hui.

En complément d'Have I Been Pwned, plusieurs services bancaires et gestionnaires de mots de passe (1Password, Bitwarden, Dashlane) proposent désormais une surveillance automatique des fuites connues et vous alertent directement si vos identifiants sont détectés dans une base compromise.

Repérez les signaux d'alerte

Même sans notification officielle, plusieurs signaux concrets doivent alerter :

  • E-mails ou SMS de phishing ciblés : un message vous appelle par votre nom complet, mentionne votre adresse exacte ou votre numéro de client — des informations qu'un expéditeur légitime n'aurait pas à combiner de cette façon
  • Tentatives de connexion inhabituelles : vous recevez des alertes de réinitialisation de mot de passe sur des services que vous n'avez pas contactés, ou des alertes de connexion depuis un appareil inconnu
  • Transactions bancaires non reconnues : même de très petit montant — les fraudeurs testent souvent avec un micro-paiement de quelques centimes avant de procéder à des débits plus importants
  • Nouveaux crédits ou contrats à votre nom : vous recevez des courriers pour des abonnements téléphoniques, des prêts ou des comptes que vous n'avez pas souscrits
  • Blocage de vos comptes : votre compte en ligne est soudainement inaccessible alors que vous n'avez pas changé votre mot de passe, signe qu'un fraudeur l'a peut-être pris en main
  • Appels ou e-mails d'organismes que vous ne connaissez pas : un huissier, une agence de recouvrement, ou un opérateur téléphonique vous contacte pour un impayé sur un contrat inconnu

La notification directe de l'entreprise concernée

Si une fuite présente un risque élevé pour vos droits, le RGPD impose à l'entreprise concernée de vous prévenir directement — par e-mail, SMS ou courrier postal. Cette notification doit obligatoirement :

  • Décrire clairement la nature des données exposées (identité, données bancaires, données de santé, etc.)
  • Indiquer les risques potentiels pour vous
  • Vous donner les mesures concrètes que vous pouvez prendre pour vous protéger
  • Vous communiquer un contact (DPO ou service dédié) pour toute question

Si vous avez reçu une telle notification, prenez-la au sérieux même si le ton est rassurant. La simple réception d'une notification officielle signifie que l'entreprise a évalué le risque comme élevé pour vos droits et libertés. Ne classez pas ce message comme spam : c'est le point de départ de vos démarches.

Si vous pensez être concerné par une fuite connue mais n'avez reçu aucune notification, consultez le site de l'entreprise concernée — certaines publient des FAQ dédiées — ou contactez directement leur service client.

Confirmer la fuite et évaluer l'impact sur vos données

Une fois que vous avez identifié qu'une fuite vous concerne, il faut évaluer concrètement quelles données ont été exposées et quel niveau de risque vous courez réellement. Toutes les fuites n'ont pas le même impact selon la nature des données compromises.

Quelles données ont été exposées ?

Selon les informations compromises, les risques et les mesures d'urgence à prendre diffèrent radicalement :

Données de contact basiques (nom, e-mail, téléphone, adresse) : risque modéré de phishing et de démarchage frauduleux. Soyez vigilant sur tous les messages entrants dans les semaines qui suivent, vérifiez soigneusement l'expéditeur avant de cliquer sur un lien, et méfiez-vous des appels téléphoniques qui vous semblent "trop au courant" de votre situation personnelle.

Mots de passe ou hachages de mots de passe : risque élevé de compromission de vos comptes, surtout si vous réutilisez le même mot de passe sur plusieurs services. C'est la faille la plus courante — les fraudeurs testent systématiquement les identifiants volés sur d'autres services populaires (Gmail, Facebook, Amazon, banques en ligne). Action urgente requise : changer immédiatement le mot de passe concerné ET tous les services où vous utilisez la même combinaison.

Données bancaires (IBAN, numéro de carte, RIB) : risque très élevé de prélèvements frauduleux ou de virements non autorisés. L'IBAN seul permet de créer un mandat de prélèvement frauduleux. Un numéro de carte avec CVV permet des achats en ligne immédiats. Contactez votre banque dès que possible.

Numéro de sécurité sociale (NIR) : risque d'usurpation d'identité administrative — fraude aux remboursements maladie, ouverture de droits frauduleux à votre nom. Signalez-le immédiatement à votre CPAM et à l'Assurance Maladie.

Données d'identité complètes (nom + prénom + date de naissance + adresse + pièce d'identité) : risque maximal d'usurpation d'identité — ouverture de crédits, contrats téléphoniques, location de logement à votre nom. Signalez immédiatement à la police ou à la gendarmerie.

Données de santé : risque de discrimination, de chantage ou de revente à des assureurs. La CNIL traite ces violations avec une priorité maximale — signalez-y directement.

La combinaison de données : le vrai facteur de risque

Ce qui rend une fuite véritablement dangereuse, c'est souvent la combinaison de plusieurs types de données. Nom + e-mail seuls = risque limité. Nom + adresse + date de naissance + numéro de sécurité sociale = combinaison permettant une usurpation d'identité complète.

Consultez la notification reçue ou le site de l'entreprise concernée pour connaître précisément les catégories de données exposées. Si l'entreprise reste vague, vous pouvez exercer votre droit d'accès (voir section "Exercer vos droits RGPD" ci-dessous) pour obtenir la liste exacte des données vous concernant, dans un délai légal de 30 jours.

Dans les fuites massives comme celles de Free (2024) ou France Travail (2024-2025), les cybercriminels croisent plusieurs bases pour constituer des profils complets. Même si les données de la fuite vous semblent peu sensibles isolément, elles peuvent être combinées avec d'autres données déjà disponibles sur internet.

Blocage urgent : que faire dans les premières 72 heures

Dès que vous confirmez que vos données ont été exposées, certaines actions doivent être prises immédiatement — avant même de déposer plainte. Voici la liste de priorité selon la nature des données compromises.

Données bancaires exposées : actions immédiates

Si un IBAN, un numéro de carte bancaire ou des identifiants de compte ont fuité, voici les étapes dans l'ordre de priorité :

  1. Appelez votre banque ou utilisez l'application mobile pour signaler immédiatement la situation. La plupart des banques disposent d'une ligne d'urgence 24h/24 dédiée aux fraudes, accessible sur le dos de votre carte bancaire.
  2. Faites opposition sur votre carte bancaire si votre numéro de carte avec CVV a fuité. Une opposition est définitive — si vous préférez surveiller d'abord (cas d'un IBAN seul exposé), demandez une mise sous surveillance renforcée et des alertes SMS pour chaque transaction.
  3. Vérifiez vos relevés des 30 à 90 derniers jours pour identifier d'éventuelles transactions non reconnues et les contester auprès de votre banque. Votre banque est légalement tenue de vous rembourser les opérations non autorisées signalées dans les délais (article L.133-18 du Code monétaire et financier).
  4. Demandez votre situation FICP/FCC auprès de la Banque de France (par courrier ou en agence) pour vérifier qu'aucun crédit frauduleux n'a été ouvert à votre nom. Ce service est gratuit.
  5. Conservez tous les justificatifs : captures d'écran, relevés, e-mails de votre banque — ils seront nécessaires pour toute procédure ultérieure.

En cas de prélèvement SEPA non autorisé, vous disposez de 13 mois pour le contester auprès de votre banque (article L.133-24 du Code monétaire et financier) — ne tardez pas mais sachez que vous avez ce délai de protection.

Changez vos mots de passe compromis

Si vos identifiants de connexion (e-mail + mot de passe) ont été exposés, voici l'ordre d'action :

  1. Changez le mot de passe du service concerné en premier — même si les mots de passe sont chiffrés dans la base de données, certains algorithmes faibles (MD5) peuvent être cassés en quelques heures.
  2. Changez le mot de passe sur tous les autres services où vous utilisez la même combinaison. C'est la priorité absolue : les fraudeurs utilisent des outils automatisés (credential stuffing) qui testent des centaines de services populaires en quelques minutes.
  3. Commencez par votre compte e-mail principal — c'est la clé de tous vos autres comptes. Si un fraudeur prend le contrôle de votre e-mail, il peut déclencher une réinitialisation de mot de passe sur tous vos services.
  4. Adoptez un gestionnaire de mots de passe (Bitwarden, 1Password, Dashlane) pour générer et stocker des mots de passe uniques et complexes pour chaque service. Vous n'avez besoin de mémoriser qu'un seul mot de passe maître.

Activez la double authentification (2FA)

Même avec un mot de passe compromis, un fraudeur ne peut pas accéder à votre compte si la double authentification est activée. Activez-la en priorité sur les services suivants :

  • Votre compte e-mail principal (Gmail, Outlook, Proton Mail) — c'est le plus critique
  • Vos comptes bancaires en ligne
  • Vos réseaux sociaux (LinkedIn, Facebook, Instagram, Twitter/X)
  • Les services de commerce en ligne (Amazon, PayPal, etc.)
  • Votre compte gouvernemental (France Connect, impots.gouv.fr, ameli.fr)

Privilégiez une application d'authentification (Google Authenticator, Authy, Microsoft Authenticator) plutôt que le SMS, qui reste vulnérable au SIM swapping — une technique par laquelle un fraudeur convainc votre opérateur de transférer votre numéro de téléphone sur une nouvelle SIM qu'il contrôle.

Vérifiez vos comptes gouvernementaux et votre identité administrative

Si votre numéro de sécurité sociale ou des données d'identité complètes ont fuité :

  • Connectez-vous à ameli.fr pour vérifier votre historique de remboursements et signaler toute anomalie à votre CPAM
  • Consultez votre espace personnel sur impots.gouv.fr pour vérifier qu'aucune modification n'a été effectuée (changement de RIB pour remboursement, etc.)
  • Vérifiez votre espace info-retraite.fr si vos données d'identité complètes ont été exposées

Déposer une plainte : Pharos, commissariat ou THESEE

Déposer une plainte est une étape importante pour deux raisons : c'est un acte officiel qui déclenche une enquête judiciaire potentielle, et c'est souvent une condition pour faire valoir vos droits (indemnisation, assurance contre la cybercriminalité, procédures bancaires). Ne négligez pas cette étape même si vous pensez que les chances de retrouver le responsable sont faibles — les données de votre plainte contribuent aux enquêtes sur les réseaux de cybercriminels.

Signaler sur Pharos (pour les contenus illicites en ligne)

Pharos (Plateforme d'Harmonisation, d'Analyse, de Recoupement et d'Orientation des Signalements) est la plateforme du ministère de l'Intérieur pour signaler des contenus illicites en ligne. Rendez-vous sur internet-signalement.gouv.fr pour signaler :

  • Des messages de phishing ou d'escroquerie utilisant vos données personnelles
  • Des publications de vos données personnelles sur un site, forum ou réseau social
  • Des usurpations d'identité en ligne (faux profils à votre nom)
  • Des tentatives d'extorsion ou de chantage utilisant des informations volées

Ce signalement ne constitue pas une plainte pénale au sens strict, mais il permet aux services de police spécialisés (OCLCTIC — Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication) de détecter les tendances et d'identifier des réseaux actifs.

Déposer plainte au commissariat ou à la gendarmerie

Pour engager une procédure judiciaire formelle, déposez une plainte au commissariat de police ou à la brigade de gendarmerie de votre domicile. Toute personne est en droit de déposer plainte — les services de police et de gendarmerie sont tenus de la recevoir.

Apportez lors du dépôt :

  • Une pièce d'identité valide
  • Toutes les preuves disponibles : captures d'écran de la notification reçue, e-mails frauduleux reçus, relevés bancaires montrant des transactions suspectes, résultats Have I Been Pwned, correspondances avec l'entreprise concernée
  • Le nom de l'entreprise concernée et la date approximative de la fuite si vous la connaissez
  • Une description précise du préjudice subi ou potentiel

Précisez clairement dans votre plainte les qualifications pénales selon ce qui s'est passé : "accès frauduleux à un système informatique" (article 323-1 du Code pénal), "vol de données personnelles", "utilisation frauduleuse de données bancaires" (article L163-4 du Code monétaire et financier), ou "usurpation d'identité" (article 226-4-1 du Code pénal).

Si le policier ou gendarme tente de vous orienter vers un simple signalement, insistez poliment pour une plainte formelle — vous avez le droit légal de déposer plainte si vous avez subi ou risquez de subir un préjudice identifiable.

Porter plainte en ligne via THESEE (sans se déplacer)

THESEE (Traitement Harmonisé des Enquêtes et Signalements pour les E-Escroqueries) est la plateforme du ministère de l'Intérieur permettant de déposer une plainte en ligne pour les escroqueries commises sur internet. Elle est accessible 24h/24 sur masecurite.interieur.gouv.fr.

THESEE est particulièrement adapté pour :

  • Les achats non autorisés réalisés avec vos données bancaires volées
  • Les arnaques par phishing exploitant vos données personnelles
  • Les ouvertures de comptes frauduleux en ligne à votre nom

Vous recevez immédiatement un récépissé numérique faisant foi — conservez-le précieusement pour vos démarches bancaires et d'indemnisation. La plainte est transmise au commissariat ou à la gendarmerie territorialement compétent.

Exercer vos droits RGPD auprès de l'entreprise concernée

La fuite de vos données ne fait pas disparaître vos droits sur ces données. Au contraire, une violation de données renforce votre intérêt à les exercer pour limiter les dommages futurs et obtenir une transparence totale sur ce qui a été exposé.

Droit d'accès : savoir précisément quelles données ont été compromises

En vertu de l'article 15 du RGPD, vous avez le droit d'obtenir de l'entreprise concernée une copie complète de toutes les données vous concernant qu'elle détient. Dans le contexte d'une fuite, cela vous permet de connaître précisément quelles informations ont été compromises — bien au-delà de ce que l'entreprise mentionne dans sa notification officielle, qui peut être volontairement générale.

Pour exercer votre droit d'accès :

  1. Adressez une demande écrite (e-mail ou lettre recommandée avec AR) au responsable de traitement ou à son DPO — vous trouverez les coordonnées dans la politique de confidentialité du service
  2. Précisez votre identité et les données que vous souhaitez obtenir
  3. L'entreprise dispose de 30 jours pour répondre (délai extensible à 90 jours pour les demandes complexes, avec justification)
  4. Conservez la preuve de votre demande et la date d'envoi — ces éléments sont nécessaires si vous devez ensuite saisir la CNIL

Droit d'opposition, de limitation et d'effacement

Après une fuite, vous pouvez exercer plusieurs droits selon votre situation :

  • Droit à l'effacement (article 17 RGPD) : si vous souhaitez que l'entreprise supprime toutes les informations vous concernant, dès lors qu'elles ne sont plus nécessaires à la finalité initiale ou si vous retirez votre consentement. Attention : ce droit n'est pas absolu — l'entreprise peut conserver certaines données pour des obligations légales (comptabilité, etc.)
  • Droit à la limitation du traitement (article 18 RGPD) : pour demander à l'entreprise de ne plus utiliser vos données pendant la durée d'un litige ou d'une contestation, sans les supprimer
  • Droit d'opposition (article 21 RGPD) : notamment si vos données sont ou risquent d'être utilisées à des fins de prospection commerciale suite à la fuite

Ces droits s'exercent directement auprès de l'entreprise responsable, par écrit. En cas de refus non justifié ou de non-réponse dans les délais légaux, vous pouvez saisir la CNIL — qui pourra mettre l'entreprise en demeure de répondre.

Recours et indemnisation

Si vous avez subi un préjudice concret — fraude bancaire, usurpation d'identité, atteinte documentée à votre vie privée, préjudice moral — vous avez le droit d'obtenir réparation. Voici vos options, de la plus simple à la plus formelle.

Saisir la CNIL

La CNIL est l'autorité française de contrôle du RGPD. En tant que particulier, vous pouvez la saisir gratuitement si :

  • L'entreprise ne vous a pas notifié alors que la fuite présentait un risque élevé pour vos droits
  • L'entreprise n'a pas répondu à votre exercice de droits dans les délais légaux
  • Vous pensez que l'entreprise a commis des manquements graves en matière de sécurité des données
  • L'entreprise continue d'utiliser vos données contre votre opposition

La plainte se dépose directement sur cnil.fr/plaintes via un formulaire guidé en ligne. La CNIL examine votre plainte, peut demander des explications à l'entreprise, et si elle constate un manquement grave, peut engager une procédure de sanction pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial (amendes RGPD, article 83).

Important : la CNIL ne peut pas vous indemniser directement — son rôle est de contrôler et sanctionner les entreprises, pas de distribuer des dommages et intérêts aux victimes. Pour obtenir une compensation financière, vous devrez passer par la voie judiciaire.

Action en justice individuelle

Si vous avez subi un préjudice documenté et chiffrable, vous pouvez engager une action en réparation devant le tribunal judiciaire compétent. Le fondement juridique est l'article 82 du RGPD, qui prévoit explicitement que toute personne ayant subi un dommage matériel ou moral du fait d'une violation du RGPD a le droit d'obtenir réparation du responsable de traitement ou du sous-traitant.

Pour construire votre dossier :

  • Conservez toutes les preuves : notification reçue, captures d'écran, relevés bancaires, récépissé de plainte, correspondances avec l'entreprise, résultats Have I Been Pwned
  • Faites chiffrer votre préjudice : matériel (fraudes bancaires, coûts directs liés à l'usurpation d'identité, honoraires d'avocat) et moral (stress, atteinte à la réputation, préjudice psychologique documenté)
  • Consultez un avocat spécialisé en droit du numérique ou en droit des données personnelles — les barreaux publient des annuaires des avocats spécialisés

La jurisprudence française et européenne sur les dommages et intérêts liés aux violations RGPD est en développement rapide depuis 2023. Des décisions de juridictions européennes ont accordé des indemnisations allant de quelques centaines à plusieurs milliers d'euros par victime, selon la gravité du préjudice et les manquements de l'entreprise.

Actions collectives

Depuis 2018, la loi française permet des actions de groupe en matière de protection des données personnelles (loi Informatique et Libertés modifiée). Ces actions sont portées par des associations agréées de défense des droits numériques ou des consommateurs — la Quadrature du Net, UFC-Que Choisir, 60 Millions de Consommateurs, par exemple.

Si vous êtes victime d'une fuite massive (Free, France Travail, Auchan, etc.), vérifiez si une action collective est en cours — les associations concernées communiquent via leur site web et leurs réseaux sociaux. Rejoindre une action collective permet d'obtenir une réparation sans avoir à financer seul les frais de procédure.

France Victimes : accompagnement gratuit

France Victimes propose un accompagnement juridique et psychologique gratuit aux victimes de crimes et délits, y compris de cybercriminalité et de vols de données. Appelez le 116 006 (numéro national gratuit, disponible 7j/7) pour être mis en contact avec une association d'aide aux victimes locale. Ces associations peuvent vous aider à constituer votre dossier, vous accompagner dans vos démarches administratives et judiciaires, et vous orienter vers un avocat si nécessaire.

👉 Vous êtes responsable de traitement ? Les démarches de votre organisation en cas de fuite sont différentes. Consultez notre guide complet sur les obligations RGPD des entreprises en cas de violation de données — notification CNIL sous 72h (art. 33), information des personnes concernées (art. 34), documentation obligatoire au registre des violations.

Suivi à long terme : rester vigilant après une fuite

Les effets d'une fuite de données ne disparaissent pas après les premières semaines de crise. Certaines informations comme votre numéro de sécurité sociale ou votre date de naissance ne peuvent pas être changées — elles restent potentiellement exploitables pendant des années. Voici comment maintenir une protection durable.

Surveillance bancaire et crédit prolongée

Après une fuite impliquant des données financières ou d'identité, maintenez une surveillance active pendant au moins 12 à 24 mois :

  • Activez les alertes SMS ou e-mail de votre banque pour toute transaction dépassant un certain montant (paramétrable dans votre espace client)
  • Demandez régulièrement votre situation à la Banque de France (service FICP/FCC, gratuit) pour détecter tout crédit ou incident de paiement enregistré frauduleusement
  • Vérifiez vos relevés de compte au moins une fois par semaine pendant les 3 premiers mois, puis mensuellement
  • Signalez immédiatement à votre banque toute transaction non reconnue, même ancienne — la loi vous protège pour contester les opérations non autorisées jusqu'à 13 mois après l'échéance du relevé concerné

Veille identitaire en continu

Pour rester informé des nouvelles fuites vous concernant et détecter une exploitation de vos données :

  • Abonnez-vous aux alertes gratuites de haveibeenpwned.com pour votre adresse e-mail principale et vos adresses secondaires
  • Configurez une alerte Google sur votre nom complet pour être notifié si votre identité apparaît dans de nouveaux contenus en ligne
  • Consultez périodiquement votre espace ameli.fr pour vérifier qu'aucun soin ne vous a été facturé frauduleusement
  • Vérifiez votre espace impots.gouv.fr chaque trimestre pour détecter tout changement non autorisé (RIB de remboursement, déclaration modifiée)

Cas particulier : l'usurpation d'identité

Si vous constatez qu'un fraudeur a ouvert des comptes, souscrit des crédits ou signé des contrats à votre nom, les démarches sont plus complexes mais parfaitement gérables avec de la méthode :

  1. Déposez plainte immédiatement au commissariat ou à la gendarmerie pour usurpation d'identité — c'est un délit puni d'un an d'emprisonnement et de 15 000€ d'amende (article 226-4-1 du Code pénal). Votre récépissé de plainte est le document clé de toutes vos démarches suivantes.
  2. Contestez chaque acte frauduleux auprès de l'entreprise concernée (banque, opérateur téléphonique, bailleur, etc.) en joignant systématiquement une copie de votre plainte. Les entreprises disposent de procédures dédiées pour ces situations.
  3. Signalez à la Banque de France si des crédits frauduleux ont été accordés et menacent votre capacité à emprunter — elle peut inscrire une mention d'alerte à votre dossier.
  4. Contactez votre assurance — certains contrats d'assurance habitation ou affinitaires incluent une garantie "usurpation d'identité" couvrant les frais de procédure et une assistance juridique.
  5. Faites appel à France Victimes (116 006, gratuit) pour un accompagnement dans l'ensemble de ces démarches — leurs conseillers connaissent précisément les procédures à suivre selon votre situation.

L'usurpation d'identité peut prendre plusieurs mois à démêler complètement. Constituez un dossier physique ou numérique avec toutes vos démarches, dates, numéros de référence de dossier et correspondances. Ce dossier sera votre référence tout au long du processus.

Articles complémentaires

Comment identifier un piratage de vos données personnelles

Violation de données : obligations RGPD de l'entreprise

Tout comprendre sur la CNIL

Cybersécurité : 5 bonnes pratiques essentielles

RGPD : générer et gérer des mots de passe sécurisés

Questions fréquemment posées

Comment savoir si mes données personnelles ont été volées ?

Vérifiez gratuitement sur haveibeenpwned.com en entrant votre adresse e-mail — le service recense des milliers de bases de données compromises. Autres signaux d'alerte : e-mails de phishing qui vous appellent par votre nom complet, tentatives de connexion non demandées sur vos comptes, transactions bancaires non reconnues, ou courriers pour des contrats que vous n'avez pas souscrits. Abonnez-vous aux alertes gratuites du site pour être notifié automatiquement des futures fuites vous concernant.

Que faire en urgence si mes données bancaires ont été exposées dans une fuite ?

Appelez votre banque immédiatement (numéro indiqué sur le dos de votre carte) pour signaler la situation. Si votre numéro de carte avec CVV a fuité, faites opposition. Vérifiez vos relevés des 30 derniers jours pour identifier d'éventuelles transactions non reconnues et contestez-les — votre banque est légalement tenue de vous rembourser les opérations non autorisées. Demandez également votre situation FICP à la Banque de France pour vérifier qu'aucun crédit frauduleux n'a été ouvert à votre nom.

Comment déposer une plainte pour vol de mes données personnelles ?

Trois options selon votre situation : (1) Pharos (internet-signalement.gouv.fr) pour signaler des contenus illicites en ligne utilisant vos données. (2) Commissariat ou gendarmerie pour une plainte pénale formelle — apportez toutes vos preuves (captures d'écran, relevés, notification reçue). (3) THESEE (masecurite.interieur.gouv.fr) pour déposer une plainte en ligne pour escroqueries internet, sans déplacement, avec récépissé immédiat.

Puis-je être indemnisé si je suis victime d'une fuite de données personnelles ?

Oui. L'article 82 du RGPD prévoit explicitement votre droit à réparation si vous subissez un dommage matériel ou moral du fait d'une violation du RGPD. Vous pouvez porter l'action devant le tribunal judiciaire compétent. Pour les fuites massives, vérifiez si une action collective est en cours auprès d'associations de consommateurs (UFC-Que Choisir, Quadrature du Net). France Victimes (116 006) peut vous accompagner gratuitement dans vos démarches.

Comment saisir la CNIL en tant que victime particulière d'une fuite de données ?

Rendez-vous sur cnil.fr/plaintes et remplissez le formulaire en ligne — la démarche est gratuite et accessible à tout particulier. La CNIL peut contraindre l'entreprise à respecter vos droits (répondre à votre exercice de droits, vous notifier correctement, sécuriser les données restantes) et, si elle constate un manquement grave, engager une procédure de sanction. Attention : la CNIL ne distribue pas d'indemnisation aux victimes. Pour obtenir une réparation financière, vous devrez saisir le tribunal judiciaire.

Combien de temps mes données restent-elles exploitables après une fuite ?

Cela dépend des données exposées. Un mot de passe changé immédiatement perd sa valeur en quelques heures. En revanche, votre numéro de sécurité sociale, votre date de naissance ou votre adresse peuvent être exploités pendant des années — ces données ne "expirent" pas. Pour les fuites impliquant des données d'identité, restez vigilant au minimum 12 à 24 mois après la fuite. Abonnez-vous aux alertes de haveibeenpwned.com, surveillez vos comptes bancaires régulièrement, et vérifiez périodiquement votre situation à la Banque de France.

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

Tout savoir sur les ransomwares
4/3/2025
SOC 2 : Définition et Checklist de Conformité pour les Entreprises Tech
14/5/2025
RGPD : Les enjeux de la pseudonymisation des données
30/3/2023
Optimiser la sécurité des données : le guide ultime
18/10/2023
Leto vs Vanta : Quelle solution de conformité choisir ?
4/11/2024
Tout savoir sur l’anonymisation de données
28/5/2024

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026