Un constat accablant : les Français sont nus numériquement
Il fut un temps où une violation de données personnelles faisait la une des journaux pendant des semaines. Ce temps est révolu. En 2024, la CNIL a enregistré 5 629 notifications de violations de données personnelles, soit une hausse de 20 % par rapport à 2023. Mais ce chiffre, aussi impressionnant soit-il, ne dit pas l’essentiel : le nombre de violations touchant plus d’un million de personnes a tout simplement doublé en un an.
Et 2025 ne nous laisse aucun répit. Dès le premier trimestre, plus de 2 500 violations ont déjà été signalées, soit près de la moitié du total de l’année 2024. Le 18 février 2025, nous apprenions que le fichier FICOBA (Fichier national des comptes bancaires et assimilés), géré par la Direction Générale des Finances Publiques, avait été compromis : 1,2 million de comptes bancaires exposés, avec noms, prénoms, IBAN, adresses postales et, dans certains cas, identifiants fiscaux.
Ce n’est plus un incident. C’est un état permanent.
ETAT DES DONNEES EN ACCES QUASI LIBRE
| Type de donnée | Viamedis / Almerys 33M · janv. 2024 |
France Travail 43M · mars 2024 |
Free / Free Mobile 19M · oct. 2024 |
SFR / RED sept. 2024 |
Boulanger sept. 2024 |
Auchan nov. 2024 |
Cultura 2024 |
FFF 2024 |
FICOBA / DGFiP 1,2M · fév. 2025 |
Nb de fuites |
Modifiable ? |
|---|---|---|---|---|---|---|---|---|---|---|---|
| 🪪 DONNÉES D’IDENTITÉ | |||||||||||
|
Nom et prénom
|
● | ● | ● | ● | ● | ● | ● | ● | ● | 9/9 | NON |
|
Date de naissance
|
● | ● | ● | – | – | ● | – | ● | – | 5/9 | NON |
|
Lieu de naissance
|
– | ● | ● | – | – | – | – | – | – | 2/9 | NON |
|
N° de sécurité sociale (NIR)Identifiant unique, contient sexe + date/lieu naissance
|
● | ● | – | – | – | – | – | – | – | 2/9 | NON |
| 📬 DONNÉES DE CONTACT | |||||||||||
|
Adresse e-mail
|
– | ● | ● | ● | ● | ● | ● | ● | – | 7/9 | DIFFICILE |
|
Numéro de téléphone
|
– | ● | ● | ● | ● | ● | ● | ● | – | 7/9 | DIFFICILE |
|
Adresse postale
|
– | ● | ● | ● | ● | ● | ● | – | ● | 7/9 | DIFFICILE |
| 🏦 DONNÉES BANCAIRES | |||||||||||
|
IBAN / RIBCoordonnées bancaires complètes
|
– | – | ● | Partiel | – | – | – | – | ● | 3/9 | TRÈS LOURD |
|
Identifiant fiscal
|
– | – | – | – | – | – | – | – | Partiel | 1/9 | NON |
| 🏥 DONNÉES SANTÉ / SOCIAL | |||||||||||
|
Nom de l’assureur santéMutuelle / complémentaire
|
● | – | – | – | – | – | – | – | – | 1/9 | DIFFICILE |
|
Garanties du contrat santé
|
● | – | – | – | – | – | – | – | – | 1/9 | DIFFICILE |
|
Statut emploi / handicapPotentiellement assimilable à données de santé
|
– | ● | – | – | – | – | – | – | – | 1/9 | NON |
| 📄 DONNÉES CONTRACTUELLES ET COMPTES | |||||||||||
|
Identifiant abonné / compteIdentifiant France Travail, Free, SFR…
|
– | ● | ● | ● | ● | ● | ● | – | – | 6/9 | DIFFICILE |
|
Données contractuellesType d’offre, date souscription, historique achats
|
– | – | ● | ● | ● | ● | ● | – | – | 5/9 | DIFFICILE |
| – | – | – | – | – | – | – | – | – | 0/9 | ✓ OUI | |
|
N° carte SIM / IMSI
|
– | – | – | Partiel | – | – | – | – | – | 1/9 | DIFFICILE |
L’inventaire de la catastrophe
Faisons l’exercice, douloureux mais nécessaire, de dresser la liste des principales violations qui ont touché les Français au cours des derniers mois :
Viamedis et Almerys (janvier 2024) : 33 millions de personnes touchées. Données compromises : état civil, date de naissance, numéro de sécurité sociale, nom de l’assureur santé, garanties du contrat. Il s’agit des opérateurs de tiers payant qui travaillent pour la quasi-totalité des complémentaires santé françaises.
France Travail (mars 2024) : 36,8 millions de victimes potentielles. La CNIL a fustigé « un système d’information profondément défaillant ». Les données d’emploi, d’identité et de contact de millions de demandeurs d’emploi et anciens inscrits se sont retrouvées dans la nature.
Free (octobre 2024) : des millions d’abonnés concernés, avec pour certains l’exposition de leurs IBAN. La CNIL a infligé une sanction de 42 millions d’euros aux sociétés Free Mobile et Free.
Boulanger, Cultura, Auchan, SFR, Molotov, Truffaut, Le Point… : la liste s’allonge de manière vertigineuse. Chacune de ces enseignes a confirmé des fuites de données personnelles de ses utilisateurs.
FICOBA / DGFiP (février 2025) : 1,2 million de comptes bancaires compromis par l’usurpation d’identifiants d’un fonctionnaire.
À ces violations majeures s’ajoutent des dizaines d’autres touchant des collectivités territoriales, des établissements de santé, des organismes sociaux, des fédérations sportives comme la FFF, et des missions locales exposant les données de 1,6 million de jeunes.
Le problème central : des données qui ne peuvent pas être « décompromises »
Voici la réalité que personne ne veut regarder en face : contrairement à un mot de passe, certaines données ne peuvent pas être changées.
Votre numéro de sécurité sociale est construit à partir de votre sexe, de votre date de naissance et de votre lieu de naissance. Il vous accompagne toute votre vie. Il est immuable. Il circule aujourd’hui sur le dark web par dizaines de millions d’exemplaires.
Votre IBAN est rattaché à votre compte bancaire. Le changer implique d’ouvrir un nouveau compte, de transférer tous vos fonds, de modifier l’ensemble de vos créanciers, de prévenir votre employeur, la Sécurité sociale, votre mutuelle, les impôts, et de fermer l’ancien compte. Une procédure que la CNIL elle-même qualifie de « fastidieuse ».
Votre date de naissance, votre adresse postale, votre état civil : ces informations sont désormais disponibles, recoupées, enrichies, et revendues dans des bases de données criminelles. Changer d’adresse ne résout rien si l’historique de vos données est déjà constitué.
Le résultat ? Chaque Français est potentiellement exposé à l’hameçonnage ciblé, à l’usurpation d’identité, aux prélèvements frauduleux et aux escroqueries sur mesure. Et cette exposition est permanente.
L’idée du « Grand Reset » : utopie ou nécessité ?
Face à cette situation sans précédent, une idée émerge de plus en plus dans les discussions entre professionnels de la protection des données : celle d’un Grand Reset, c’est-à-dire une remise à zéro coordonnée et organisée des identifiants et données critiques des citoyens français.
Concrètement, de quoi parlerait-on ?
- Refondre le système d’identification national
Le numéro de sécurité sociale, dans sa forme actuelle, est intrinsèquement vulnérable. Il contient des informations personnelles en clair (sexe, date et lieu de naissance) et ne peut être ni modifié ni révoqué. D’autres pays ont su faire évoluer leurs systèmes d’identification. La France pourrait envisager la création d’un identifiant national dissocié des données biométriques, révocable en cas de compromission, et accompagné de mécanismes d’authentification forte.
- Faciliter le renouvellement massif des coordonnées bancaires
La mobilité bancaire, rendue obligatoire par la loi Macron de 2015, permet déjà de changer de banque plus facilement. Mais elle n’a pas été pensée pour une compromission de masse. Il faudrait imaginer un mécanisme d’urgence permettant aux citoyens de renouveler leurs IBAN de manière simplifiée, avec un transfert automatique de tous les mandats de prélèvement, sans rupture de service. Les banques pourraient être tenues de proposer ce service gratuitement en cas de violation de données avérée.
- Créer un « coffre-fort numérique citoyen »
Plutôt que de disséminer nos données personnelles auprès de centaines d’organismes qui ne sont manifestement pas capables de les protéger, pourquoi ne pas centraliser le contrôle ? Un coffre-fort numérique souverain, géré sous la responsabilité de l’État, permettrait à chaque citoyen de maîtriser précisément quels organismes accèdent à quelles données, pour quelle durée, et de révoquer ces accès à tout moment. France Identité, le service d’identité numérique, pourrait constituer un socle pour une telle architecture.
- Appliquer le droit à l’effacement de manière industrielle
Le RGPD consacre un droit à l’effacement (article 17). Mais dans la pratique, exercer ce droit auprès de dizaines d’organismes est un parcours du combattant. Le Grand Reset impliquerait un mécanisme centralisé de purge : un portail unique permettant aux citoyens de demander la suppression de leurs données auprès de tous les organismes qui les détiennent, en une seule démarche. La CNIL a d’ailleurs rappelé que l’application stricte du principe de durée de conservation limitée, avec des mécanismes d’archivage ou de purge automatique, fait partie des mesures prioritaires pour limiter l’impact des violations.
- Instaurer une obligation de notification proactive et de remédiation
Aujourd’hui, les organismes victimes d’une violation sont tenus de notifier les personnes concernées. Mais cette notification se limite souvent à un courriel laconique recommandant de « rester vigilant ». Le Grand Reset exigerait une obligation de remédiation effective : prise en charge financière du changement d’IBAN, fourniture gratuite de services de surveillance du crédit, et accompagnement personnalisé des victimes d’usurpation d’identité.
Les obstacles à surmonter
Soyons lucides : un tel chantier serait colossal.
Le coût serait considérable. Renouveler les identifiants de dizaines de millions de citoyens, adapter les systèmes d’information de l’ensemble des organismes publics et privés, former les agents, accompagner les citoyens les plus éloignés du numérique… les estimations se chiffreraient en milliards d’euros.
La complexité technique est immense. Le NIR est intégré dans des milliers de systèmes d’information, des logiciels de paie aux bases de l’Assurance Maladie, en passant par les déclarations fiscales et les organismes de retraite. Modifier ce numéro impliquerait une migration informatique d’une ampleur sans précédent.
La résistance au changement serait forte. Les administrations, les banques, les mutuelles, les employeurs : tous ont bâti leurs processus autour de ces identifiants. Leur demander de tout reconstruire se heurterait à une inertie considérable.
La fracture numérique ne doit pas être oubliée. La CNIL souligne elle-même que les personnes vulnérables, notamment celles qui n’ont pas un accès quotidien à Internet, sont particulièrement exposées. Un Grand Reset qui se ferait uniquement par voie numérique laisserait sur le bord de la route les citoyens qui en ont le plus besoin.
Ce qui peut être fait dès maintenant
Sans attendre un hypothétique Grand Reset, des mesures concrètes et immédiates peuvent et doivent être prises.
La double authentification obligatoire pour l’accès aux grandes bases de données est une mesure que la CNIL va imposer à tous les organismes détenant des données de plus de deux millions de personnes. Marie-Laure Denis, présidente de la CNIL, estime que 80 % des grandes violations de données de 2024 auraient pu être évitées avec cette seule mesure. Des contrôles massifs sont annoncés dès 2026.
La mise en place de listes blanches SEPA auprès de votre banque est un réflexe que chaque citoyen devrait adopter immédiatement. Ce dispositif permet de limiter les prélèvements aux seuls créanciers que vous avez explicitement autorisés.
Le principe de minimisation des données, pilier du RGPD, doit être appliqué avec une rigueur nouvelle. Trop d’organismes collectent et conservent des données dont ils n’ont pas besoin, pendant des durées excessives. Chaque donnée inutilement stockée est une donnée qui sera un jour compromise.
La cybersécurité des sous-traitants doit devenir un critère de sélection incontournable. Une part significative des violations de 2024 impliquait des prestataires externes. L’attaque de la chaîne d’approvisionnement est devenue le vecteur principal de compromission des grandes bases de données.
Un changement de paradigme inévitable
Le véritable enjeu du Grand Reset dépasse la technique. Il s’agit d’un changement de paradigme dans notre rapport aux données personnelles.
Pendant des décennies, nous avons confié nos informations les plus sensibles à des organismes en leur faisant une confiance aveugle. Cette confiance est brisée. La CNIL elle-même le reconnaît en faisant de la cybersécurité l’un des quatre axes de son plan stratégique 2025-2028.
La question n’est plus de savoir si vos données ont été compromises. La question est de savoir combien de fois elles l’ont été, par combien d’acteurs malveillants, et ce qu’ils en feront demain.
Face à cette réalité, le Grand Reset n’est peut-être pas une utopie. C’est peut-être simplement la seule réponse proportionnée à l’ampleur du désastre.
- BreachForums : Le FBI Met Fin au Plus Grand Marché de Données Personnelles Volées
- Mémoire du Sport Français : Comment Archiver les Données Personnelles ?
- Baromètre sur les Français et leur vie privée sur internet : les résultats montrent encore des difficultés à protéger efficacement les données personnelles
