Piratage de l'ANTS : une association saisit la CNIL et réclame 150 000 € pour défaillance de sécurité

13/5/26
👈 les autres actualités

Pour la première fois depuis le piratage du portail de l'Agence nationale des titres sécurisés (ANTS), une association porte le contentieux à la fois devant la CNIL et devant les juridictions administratives. « La Ligue des libertés » réclame 150 000 euros à l'État et demande à l'autorité de contrôle de sanctionner l'ANTS pour ses « manquements graves aux obligations de sécurité » du RGPD. Pour les DPO du secteur public — et tous les responsables de traitement — cette offensive marque un précédent qui dépasse la seule sphère politique.

Ce qui s'est passé

Selon les recours dévoilés par La Tribune et consultés par ZDNet, l'association « La Ligue des libertés » a déposé début mai 2026 trois actions parallèles à la suite du piratage de l'ANTS, survenu autour du 15 avril :

  • une plainte devant la CNIL demandant le constat des manquements, des mesures correctrices contraignantes, une sanction de l'ANTS et la transparence sur les causes de l'incident ;
  • deux demandes indemnitaires de 150 000 euros chacune, transmises au ministère de l'Intérieur et à l'ANTS, présentées comme préalable à une action devant le tribunal administratif ;
  • la préparation explicite d'un contentieux administratif visant à faire reconnaître la « défaillance grave de l'État dans la protection des données ».

Le piratage avait contraint l'ANTS à suspendre son portail le temps de renforcer ses défenses. Le Premier ministre Sébastien Lecornu avait annoncé dans la foulée le déblocage de 200 millions d'euros et la consigne donnée à chaque ministère de consacrer 5 % de son budget numérique à la cybersécurité.

Pourquoi c'est important

L'angle juridique choisi par l'association ne sort pas de nulle part. Il s'appuie sur deux mécanismes du RGPD qui sont aujourd'hui sous-utilisés en France et que les juristes voient monter en puissance dans toute l'Union.

Le premier, c'est la saisine de la CNIL par toute personne concernée au titre de l'article 77 du RGPD. Ce droit de réclamation est l'un des leviers les plus directs pour déclencher une enquête de l'autorité — et il n'exige aucun préjudice individuel démontré : le manquement objectif suffit.

Le second, c'est l'action portée par une association mandatée au sens de l'article 80 du RGPD. Cet article ouvre la voie aux véhicules contentieux collectifs, qui se sont multipliés ces dernières années via des structures comme noyb. « La Ligue des libertés », financée par le milliardaire Pierre-Edouard Stérin et soutenue par des personnalités de droite, importe désormais ce modèle dans un dossier qui touche directement l'administration française.

Sur le fond, le grief porte sur l'article 32 du RGPD — la sécurité du traitement. C'est l'article que la CNIL invoque systématiquement après une violation : il impose au responsable du traitement des mesures techniques et organisationnelles « appropriées au risque », évaluées au regard de « l'état de l'art ». Et l'état de l'art, justement, vient d'être redéfini par la feuille de route de cybersécurité de l'État alignée sur NIS 2 — un référentiel que les organismes publics ne pourront plus ignorer dans la défense de leurs décisions de sécurité.

Ce que ça change pour les organisations

L'offensive contre l'ANTS contient au moins trois signaux opérationnels.

Un — la sanction CNIL n'est plus le seul risque post-incident. L'association ne se contente pas de saisir l'autorité de contrôle : elle ouvre en parallèle un contentieux indemnitaire. Pour les DPO, cela impose de documenter la chaîne décisionnelle avant l'incident (analyse de risque, choix techniques, traçabilité des arbitrages budgétaires) avec la perspective d'une production en justice, et plus seulement d'un contrôle CNIL.

Deux — les organismes publics ne bénéficient plus d'un traitement à part. La rhétorique de « défaillance grave de l'État » utilisée par l'association vise à éroder l'idée d'une indulgence implicite envers les administrations. Le plafond des amendes administratives pour les autorités publiques reste plus faible que pour le secteur privé, mais les voies indemnitaires et l'exposition médiatique réintroduisent une pression équivalente.

Trois — le « 5 % cybersécurité » devient un standard implicite. Quand un Premier ministre fixe publiquement un objectif d'investissement en cybersécurité, ce chiffre alimente l'argumentation contre les organismes — publics comme privés sous-traitants de l'État — qui n'auront pas démontré un effort proportionné. Les DPO ont intérêt à cartographier formellement leurs mesures de sécurité et à les confronter à cet état de l'art en mouvement, pour ne pas se retrouver à reconstruire la preuve a posteriori.

Ce que Leto pense de cette décision

Le dossier ANTS marque un tournant moins par son angle politique que par son architecture juridique. En cumulant article 77, article 80 et recours administratif indemnitaire, l'association teste un modèle de pression à trois étages qui, s'il prospère, peut être répliqué sur tous les incidents publics ou privés à fort retentissement. Pour les DPO, la leçon est claire : le contentieux post-violation ne se joue plus uniquement avec la CNIL, et la documentation de la sécurité du traitement doit désormais être conçue pour un public juridictionnel élargi. Le coût d'une mauvaise traçabilité s'apprécie à l'échelle d'un tribunal administratif, pas seulement d'une sanction CNIL.

Sources :

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026