Lookups : la justice française s'attaque aux moteurs de recherche de données volées

La ministre déléguée au numérique et plusieurs élus ont saisi la justice contre des services de lookup — des moteurs de recherche qui agrègent des millions de données personnelles issues de piratages. En quelques secondes, n'importe qui peut y retrouver votre IBAN, votre adresse postale ou votre numéro de sécurité sociale. Pour les DPO, ce phénomène cristallise les conséquences à long terme des violations de données non maîtrisées.

Ce qui s'est passé

Le vendredi 12 juin 2026, BFM-TV a révélé qu'Anne Le Hénanff, ministre déléguée au numérique, avait signalé à la justice un site permettant d'effectuer des requêtes dans des dizaines de bases de données volées. Dans la foulée, Eric Bothorel, député Renaissance des Côtes-d'Armor, a annoncé avoir lui aussi saisi la justice pour signaler trois services de lookup différents, précisant sur BlueSky : «Il faut le redire avec force, le recel de données volées est un crime.»

Ces services ne sont pas nouveaux. Dès avril 2026, le parquet de Paris avait ouvert plusieurs enquêtes concernant des plateformes de ce type. Le 14 mai, un jeune homme de 19 ans a été mis en examen et placé en détention provisoire dans un dossier similaire, comme l'a révélé ZDNET.

Pourquoi c'est important

Un lookup fonctionne comme un moteur de recherche, mais alimenté par des données exfiltrées lors de piratages — fuites de bases e-commerce, hôpitaux, administrations, opérateurs télécom. En tapant un simple nom, une adresse e-mail ou un numéro de téléphone, l'utilisateur peut obtenir en quelques secondes : IBAN, adresse postale, date de naissance, adhésion à des fédérations sportives, numéro de sécurité sociale.

C'est le symptôme d'un problème structurel : en 2025, la CNIL a enregistré 6 167 violations de données en France. Chaque fuite alimente des bases qui finissent par être croisées, revendues, puis indexées par ces moteurs. Le risque ne se limite pas à l'instant de la violation : les données volées continuent de circuler des années après.

Pour les DPO, le danger est double. D'abord, les données de leurs organisations peuvent se retrouver dans ces bases sans qu'ils en aient connaissance. Ensuite, les personnes concernées par leurs traitements — salariés, clients, patients — sont exposées à des risques d'usurpation d'identité qui peuvent se matérialiser des mois après la fuite initiale.

Ce que ça change pour les organisations

Concrètement, l'existence des services de lookup modifie l'évaluation des risques post-violation. Lorsqu'une entreprise subit une fuite de données, le niveau de risque pour les personnes concernées dépend en partie du fait que ces données peuvent être agrégées avec d'autres bases déjà compromises. Si votre organisation a subi une fuite par le passé, il est possible que ces données soient déjà indexées dans un lookup.

Quelques réflexes à intégrer dès maintenant :

• Évaluer régulièrement si vos données ont fuité via des outils de surveillance ou en consultant notre guide d'identification d'un piratage.
• Renforcer vos notifications aux personnes concernées : en cas de violation impliquant des données pouvant alimenter un lookup (identifiants, données financières, coordonnées), la communication prévue à l'article 34 du RGPD doit être précise sur les risques d'usurpation.
• Tester votre procédure de réponse à incident : la notification à la CNIL dans les 72h (article 33) est le premier maillon, mais réagir vite et de façon coordonnée suppose une procédure documentée et testée en amont.
• Minimiser les données collectées : chaque donnée non collectée est une donnée qui ne peut pas se retrouver dans un lookup. Le principe de minimisation du RGPD n'est pas qu'un impératif juridique — c'est une réduction concrète de la surface d'exposition.

Si vous découvrez que des données personnelles de votre organisation circulent dans un lookup, notre guide pratique détaille les démarches à suivre dans les 72 heures, y compris le signalement via la plateforme Pharos et la saisine de la CNIL.

Ce que Leto pense de cette décision

Les saisines politiques contre les lookups sont bienvenues, mais elles n'effaceront pas les bases déjà en circulation. La vraie réponse est en amont : des organisations qui minimisent leurs données, qui chiffrent ce qui doit l'être, et des DPO qui traitent la violation de données non pas comme une case à cocher, mais comme un risque opérationnel continu à gérer. La prise de conscience politique est un signal — elle ne remplace pas la maturité interne.

Sources : Le Monde, 15 juin 2026