La CNIL alerte : de faux organismes ciblent les victimes de violations de données en usurpant son identité

25/6/26
👈 les autres actualités

Des courriels frauduleux se font passer pour des associations de protection des données afin de soutirer de l'argent aux victimes de fuites. La CNIL tire la sonnette d'alarme : ces organismes n'ont aucun lien avec elle, et les données qu'ils utilisent dans leurs messages proviennent des fichiers volés lors des violations elles-mêmes.

Ce qui s'est passé

Le 24 juin 2026, la CNIL a publié une alerte signalant l'envoi massif de courriels trompeurs à des personnes victimes de violations de données personnelles. Les expéditeurs se cachent derrière des noms d'apparence officielle : "Ligue de défense des données personnelles", "Ligue de protection des données personnelles" ou encore "Association de protection des données personnelles".

Le mécanisme est rodé : ces messages affirment pouvoir intervenir auprès des plateformes en ligne (marketplaces) pour obtenir la suppression des données personnelles de leurs destinataires. La promesse est séduisante — surtout pour quelqu'un qui vient d'apprendre que ses données ont fuité.

Ce qui rend ces arnaques particulièrement dangereuses, c'est leur niveau de sophistication. Les messages peuvent contenir les véritables données personnelles des victimes — nom, adresse postale, IBAN — issues des fichiers volés lors des violations. Certains mentionnent même le numéro de téléphone officiel de la CNIL, sans qu'il existe le moindre lien entre ces expéditeurs et l'autorité de contrôle.

Pourquoi c'est important

Cette arnaque s'inscrit dans un contexte de croissance exponentielle des violations de données. En 2025, la CNIL avait enregistré 6 167 fuites de données, exposant des millions de Français à des risques d'usurpation d'identité et de hameçonnage. La cumulativité de ces fuites crée un terreau fertile pour ce type d'escroquerie : quand une personne a été touchée par plusieurs violations successives, ses données personnelles circulent sur des forums criminels, précises et à jour.

Le schéma illustré ici est une double victimisation : d'abord la violation elle-même, puis l'exploitation des victimes déjà fragilisées. On l'avait déjà observé après l'usurpation d'identité consécutive à un vol de données — où des fraudeurs avaient utilisé des données volées pour immatriculer une entreprise fictive au nom d'une victime. Ici, la mécanique est différente mais la logique est identique : les données dérobées deviennent un outil pour cibler les victimes elles-mêmes.

La présence du numéro de téléphone officiel de la CNIL dans ces messages mérite une attention particulière. Elle renforce la crédibilité apparente de l'arnaque et sème le doute chez des victimes qui, légitimement, espèrent un soutien institutionnel. La CNIL est très claire sur ce point : elle n'envoie pas ce type de courriels et n'a aucun lien avec ces organismes.

Ce que ça change pour les organisations

Pour les DPO et responsables conformité, cette alerte a des implications concrètes à deux niveaux.

Premièrement, sur la communication aux personnes concernées. Après une violation de données, l'article 34 du RGPD impose une notification aux personnes exposées quand le risque est élevé. Cette notification doit être précise sur les risques spécifiques — y compris le risque de recevoir des communications frauduleuses exploitant la violation. Les modèles de communication post-violation doivent désormais intégrer une mise en garde explicite contre ce type d'arnaque secondaire. Notre guide sur les violations de données personnelles détaille les obligations RGPD et les bonnes pratiques de communication post-incident.

Deuxièmement, sur la sensibilisation interne. Les collaborateurs qui reçoivent des signalements de clients ou d'usagers doivent être informés de ce schéma d'arnaque pour ne pas orienter involontairement les victimes vers ces faux organismes. Pour les personnes directement concernées, le message est simple : si vous avez été victime d'une fuite et recevez un courriel d'un organisme proposant de supprimer vos données en ligne, ne donnez pas suite. Signalez le directement à la CNIL et consultez notre guide pratique sur les démarches à suivre en cas de fuite de données.

Ce que Leto pense de cette décision

L'alerte de la CNIL est bienvenue et nécessaire — mais elle révèle surtout un angle mort dans la gestion des violations de données : le sort des victimes après la notification. Le RGPD encadre précisément les obligations de l'organisme responsable du traitement (notification à la CNIL sous 72h, communication aux personnes concernées, mesures correctives), mais il ne prévoit pas de mécanisme d'accompagnement des personnes dans la durée.

Cette lacune crée un espace que des acteurs malveillants s'empressent d'occuper. La réponse ne peut pas être uniquement répressive : elle suppose aussi que les organisations qui notifient une violation le fassent de façon suffisamment informative pour que les victimes sachent exactement quels risques elles courent et où trouver des ressources légitimes. La conformité RGPD ne s'arrête pas à l'envoi du courriel d'article 34.

Sources : CNIL — Victimes de violations de données : restez vigilants face aux offres d'accompagnement (24 juin 2026)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026