Usurpation d'identité après un vol de données : quand la fuite devient une entreprise fictive

24/5/26
👈 les autres actualités

Une personne a découvert que ses données personnelles volées avaient servi à immatriculer une entreprise à son nom, à son insu. L'affaire, racontée par Le Monde le 23 mai 2026, illustre une vérité que beaucoup de responsables de traitement sous-estiment encore : la fuite de données n'est pas la fin de l'incident, mais le début d'une chaîne de préjudices que presque personne ne suit.

Ce qui s'est passé

Dans le cadre de sa série « Données personnelles, la grande fuite », Le Monde rapporte le cas d'une victime française dont l'identité — état civil, coordonnées et vraisemblablement copie de pièce d'identité — a été détournée à la suite d'un vol de données. Un entrepreneur peu scrupuleux s'en est servi pour créer une société à son nom. La victime ne l'a appris qu'après coup, en découvrant l'existence d'une structure juridique qu'elle n'avait jamais constituée.

Le scénario n'a rien d'exceptionnel. Les fraudeurs consultent des registres publics comme l'INPI ou Pappers, récupèrent des identités complètes issues de bases compromises, puis immatriculent des sociétés-écrans qui servent de façade au blanchiment, à la fraude au crédit ou à la fraude fiscale. La victime, elle, se retrouve « gérante » d'une entreprise dont elle ignore tout — avec les dettes, les contentieux et la responsabilité qui vont avec. Le contexte français n'aide pas : la CNIL a recensé plus de 6 000 violations de données notifiées en 2025, et chaque base qui circule alimente ce marché de l'usurpation.

Pourquoi c'est important : le RGPD ne s'arrête pas à la notification

Beaucoup d'organisations considèrent l'incident clos une fois la CNIL notifiée dans les 72 heures (article 33) et les personnes concernées informées (article 34). L'affaire de l'usurpation montre le contraire : le préjudice réel se matérialise souvent des mois plus tard, quand la donnée volée est exploitée. Le RGPD impose précisément d'évaluer le risque pour les personnes physiques, et l'usurpation d'identité figure parmi les conséquences les plus graves citées par le considérant 75 du règlement.

Cela suppose de savoir exactement ce qui a fuité. Une fuite limitée à des adresses e-mail n'emporte pas le même risque qu'une fuite incluant des copies de cartes d'identité ou des numéros de sécurité sociale. Notre guide sur la marche à suivre en cas de violation de données personnelles détaille cette qualification, qui conditionne tout le reste de la réponse à incident. Et lorsqu'une personne suspecte que ses données circulent, encore faut-il qu'elle puisse le confirmer : c'est l'objet de notre guide pour identifier un piratage de ses données personnelles.

Ce que ça change pour les organisations

Pour les DPO et les RSSI, cette affaire impose trois réflexes concrets. D'abord, cartographier précisément les catégories de données exposées : dès qu'une pièce d'identité, un justificatif de domicile ou un identifiant officiel est concerné, le risque d'usurpation doit être traité comme élevé, ce qui déclenche l'obligation de communication individuelle de l'article 34.

Ensuite, rendre l'information utile à la victime. Une notification générique invitant à « rester vigilant face au phishing » ne suffit plus. La communication doit nommer le risque réel — usurpation d'identité, ouverture de comptes ou de sociétés frauduleuses — et orienter vers les bons réflexes : surveiller les registres INPI, déposer plainte, signaler sur les plateformes publiques. Notre guide pratique sur les démarches à effectuer dans les 72 heures lorsqu'on est victime d'une fuite peut être relayé directement aux personnes concernées.

Enfin, anticiper plutôt que subir. La maturité minimale attendue par la CNIL — registre des violations, procédure d'incident écrite, communication calibrée — a structurellement augmenté en 2026, comme le rappelle notre analyse des bons réflexes qu'une organisation doit avoir avant la prochaine attaque. Ce relèvement du standard s'observe aussi du côté des attaquants, dont le profil — souvent une délinquance jeune et isolée — ne change rien aux obligations du responsable de traitement.

Ce que Leto pense de cette affaire

Le vrai enseignement n'est pas technique, il est culturel. Tant que les organisations mesureront le succès de leur réponse à incident à la seule case « CNIL notifiée », elles passeront à côté de l'essentiel. Une violation de données ne se termine pas quand le rapport est classé : elle se termine — si elle se termine — dans la vie des personnes dont l'identité circule désormais sans contrôle. Le RGPD demande d'évaluer le risque pour les personnes, pas pour la conformité du registre. Une réponse à incident qui ne pense pas à la victime trois mois après la fuite n'est pas une réponse à incident : c'est une formalité administrative.

Sources :
Le Monde — Après un vol de données, son identité a été usurpée par un entrepreneur véreux
economie.gouv.fr — Usurpation d'identité, comment s'en protéger

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026