Données fiscales dark web usurpation identité RGPD : Un rapport publié le 19 mars 2026 par les chercheurs de Malwarebytes révèle l’ampleur du commerce de données fiscales sur le dark web. Des dossiers fiscaux complets, contenant numéro de sécurité sociale, date de naissance, revenus et coordonnées bancaires, se vendent pour environ 20 dollars l’unité. Un lot de 100 formulaires est proposé à 2 000 dollars. Les dossiers plus anciens, considérés comme moins exploitables, s’échangent pour moins de 4 dollars pièce.
La fraude fiscale par usurpation d’identité
Ces données alimentent un type de fraude spécifique : le SIRF (Stolen Identity Refund Fraud), qui consiste à déposer une fausse déclaration de revenus au nom d’une victime pour encaisser le remboursement d’impôt. Les criminels achètent des lots de données personnelles sur les forums du dark web, puis soumettent des déclarations préremplies avant que les victimes n’aient le temps de faire leur propre déclaration. Quand la victime tente de déclarer ses revenus, elle découvre qu’une déclaration a déjà été soumise en son nom.
Si cette pratique est particulièrement répandue aux Etats-Unis en raison du système de remboursement fiscal américain, les données de contribuables européens circulent également sur ces marchés. En France, les accès au fichier FICOBA (Fichier national des comptes bancaires) ont fait l’objet d’intrusions documentées par la Direction générale des finances publiques, et les données de plus de 2 millions de contribuables français ont été compromises lors d’incidents antérieurs.
Quelles données sont en circulation ?
Les dossiers vendus contiennent généralement l’identité complète de la personne (nom, prénom, date de naissance), le numéro de sécurité sociale ou identifiant fiscal, l’adresse postale, les coordonnées bancaires utilisées pour les virements de remboursement, les revenus déclarés et les formulaires de déclaration préremplis. Avec ces éléments, un fraudeur peut non seulement tenter une fraude fiscale, mais aussi ouvrir des crédits au nom de la victime, créer de faux documents d’identité ou mener des campagnes de phishing ciblées.
Les obligations des administrations au regard du RGPD
Les administrations fiscales traitent des données personnelles sensibles à grande échelle. L’article 32 du RGPD leur impose de garantir un niveau de sécurité adapté au risque, ce qui inclut le chiffrement des données, le contrôle strict des accès et la traçabilité des consultations. L’article 33 exige une notification à la CNIL dans les 72 heures suivant la découverte d’une violation, et l’article 34 impose d’informer directement les personnes concernées lorsque la violation présente un risque élevé pour leurs droits et libertés.
En France, la CNIL a rappelé à plusieurs reprises que les administrations publiques sont soumises aux mêmes obligations que les organismes privés en matière de protection des données. La multiplication des fuites touchant les données fiscales pose la question de l’adéquation des mesures de sécurité en place.
Comment protéger vos données fiscales
Vérifiez régulièrement votre espace personnel sur impots.gouv.fr et activez les notifications de connexion si cette fonctionnalité est disponible. Surveillez vos relevés bancaires pour détecter toute opération suspecte liée à un remboursement que vous n’avez pas demandé. Ne communiquez jamais vos identifiants fiscaux par courriel ou téléphone : l’administration fiscale ne demande jamais ces informations par ces canaux.
Si vous constatez qu’une déclaration frauduleuse a été déposée à votre nom, signalez-le immédiatement au service des impôts dont vous dépendez et déposez plainte sur la plateforme cybermalveillance.gouv.fr. Un dépôt de plainte auprès de la police ou de la gendarmerie est également recommandé pour permettre la traçabilité de l’infraction et engager d’éventuelles poursuites.
Source : Malwarebytes – Your tax data at risk: how scammers exploit tax season
Questions fréquentes
Comment mes données fiscales peuvent-elles se retrouver sur le dark web ?
Les données fiscales arrivent sur le dark web principalement via des fuites de données chez des prestataires comptables, des campagnes de phishing ciblant les contribuables, ou des piratages de plateformes de déclaration en ligne. Les attaquants revendent ensuite ces informations sur des marketplaces spécialisées pour quelques dizaines d’euros.
Que risque-t-on si ses données fiscales sont volées ?
Le vol de données fiscales expose à l’usurpation d’identité, à la fraude fiscale réalisée en votre nom (fausses déclarations pour obtenir des remboursements), à l’ouverture frauduleuse de crédits et comptes bancaires, ainsi qu’au chantage. Les conséquences financières et administratives peuvent durer plusieurs années.
Comment protéger ses données fiscales contre le vol en ligne ?
Pour protéger vos données fiscales, activez la double authentification sur impots.gouv.fr, ne transmettez jamais de documents fiscaux par email non chiffré, utilisez un gestionnaire de mots de passe, vérifiez régulièrement votre situation fiscale en ligne et signalez immédiatement toute activité suspecte à votre centre des impôts et à la CNIL.
