Free + France Travail + Bouygues + Urssaf = votre identité complète sur le dark web. Le RGPD a échoué.

En l’espace de 18mois, quatre fuites de données massives ont frappé la France. Free en octobre 2024 (19 millions de clients, dont 5,1 millions d’IBAN). France Travail en mars 2024 (36,8 millions de personnes, avec numéros de sécurité sociale et historique sur 20 ans). Bouygues Telecom en août 2025 (6,4 millions de clients, IBAN et état civil compris). Et l’Urssaf en janvier 2026 (12 millions de salariés, avec SIRET des employeurs et dates d’embauche).

À chaque fois, le même scénario se répète. L’organisme victime communique. La CNIL ouvre une enquête. Les experts recommandent de changer ses mots de passe. Les médias passent au sujet suivant. Et la vie continue.

Sauf que la vie ne continue pas. Pas pour les millions de Français dont les données circulent désormais sur les marchés noirs du dark web. Car le vrai danger n’est pas dans chaque fuite prise isolément. Il est dans leur combinaison.

Le puzzle que personne ne veut voir

Prenons un citoyen ordinaire. Appelons-le Jean Dupont, 42 ans, habitant à Lyon. S’il a été client de Free, inscrit à France Travail à un moment de sa carrière, abonné chez Bouygues et embauché par une entreprise au cours des trois dernières années, voici ce que les cybercriminels possèdent désormais sur lui :

Via Free : son nom, prénom, adresse postale, email, date et lieu de naissance, numéro de téléphone, données contractuelles et son IBAN.

Via France Travail : son numéro de sécurité sociale, son identifiant France Travail, son historique professionnel sur 20 ans, ses coordonnées complètes.

Via Bouygues Telecom : son état civil complet, ses données contractuelles, son IBAN (potentiellement un second compte), et s’il est professionnel, sa raison sociale et son numéro SIREN.

Via l’Urssaf : son nom, sa date de naissance, le SIRET de son employeur actuel ou récent, et sa date d’embauche.

Agrégées, ces quatre fuites ne forment plus une simple liste de données personnelles. Elles constituent un kit d’identité fonctionnel. Un kit qui permet de souscrire un crédit, ouvrir un compte bancaire, émettre de faux mandats de prélèvement SEPA, usurper une identité auprès d’une administration, ou monter une arnaque au faux conseiller d’une précision chirurgicale.

L’industrialisation de l’usurpation d’identité

Le site de veille ZATAZ a documenté tout au long de 2024 et 2025 l’apparition de services structurés sur le dark web. Des places de marché proposent des bases de données françaises reconditionnées et croisées, avec des prix allant de quelques centaines d’euros à plus de 10 000 euros pour les bases les plus complètes comme celle de France Travail. En avril 2025, plus de vingt bases de données françaises étaient simultanément en vente sur des forums spécialisés.

Plus inquiétant encore, des services baptisés « Provider Lookup » permettaient en 2023 et 2024, pour quelques dizaines d’euros en cryptomonnaie, d’interroger à la demande les fiches clients de plusieurs opérateurs français. Ce n’est plus du piratage artisanal. C’est une industrie.

En septembre 2025, la base de données Bouygues Telecom a été indexée sur Have I Been Pwned, révélant que 57 % des adresses email compromises figuraient déjà dans des fuites antérieures. Ce chiffre est un indicateur éloquent : les mêmes personnes sont touchées par plusieurs fuites simultanément, ce qui facilite le travail de recoupement pour les cybercriminels.

Le RGPD face à l’agrégation : un angle mort réglementaire

Le RGPD dispose pourtant des outils théoriques pour prévenir ce type de catastrophe. L’article 5 pose le principe de minimisation des données : ne collecter que ce qui est strictement nécessaire. L’article 5-1(e) impose la limitation de la durée de conservation. L’article 32 exige des mesures de sécurité adaptées au risque. L’article 35 prévoit des analyses d’impact pour les traitements à risque élevé.

Sur le papier, tout est là. Dans la réalité, le système dysfonctionne sur au moins trois niveaux.

Premier niveau : la sur-conservation chronique. France Travail stockait les données des inscrits sur 20 ans. Vingt ans d’historique professionnel, de numéros de sécurité sociale, de coordonnées. La CNIL l’a sanctionné de 5 millions d’euros en janvier 2026, relevant explicitement un manquement en matière de sécurité. Mais la question de la durée de conservation est tout aussi centrale. Si les données avaient été purgées au-delà de 2 ou 3 ans, le périmètre de la fuite aurait été considérablement réduit. Au lieu de 36,8 millions de personnes exposées, on aurait pu n’en compter qu’une fraction.

La même logique s’applique à Free. La CNIL a infligé en janvier 2026 une amende de 42 millions d’euros aux sociétés Free et Free Mobile, relevant notamment que Free Mobile avait conservé des millions de données d’anciens abonnés sans justification valable, bien au-delà des durées légales autorisées.

Deuxième niveau : le traitement en silo des violations. Chaque fuite fait l’objet d’une notification séparée à la CNIL. Chaque organisme gère sa communication de crise indépendamment. Chaque enquête se concentre sur les manquements de l’entité concernée. Mais personne ne se pose la question de l’agrégation. Personne n’évalue l’impact cumulé pour les personnes qui figurent dans deux, trois ou quatre de ces fuites simultanément. Le RGPD oblige les responsables de traitement à évaluer les risques pour les droits et libertés des personnes concernées, mais cette évaluation reste confinée au périmètre de chaque organisme, sans vision systémique.

Troisième niveau : des sanctions qui n’ont pas valeur dissuasive sur la conservation. Free a été sanctionné pour des défauts de sécurité (VPN mal protégé, absence d’authentification multifacteur). France Travail pour des mesures de sécurité insuffisantes. Ces sanctions portent presque exclusivement sur la dimension technique de la sécurité. La sur-conservation, elle, reste le parent pauvre de l’application du RGPD, alors qu’elle est la variable qui détermine l’ampleur de la catastrophe en cas de fuite.

2024 : l’année noire confirmée par les chiffres

Le rapport annuel 2024 de la CNIL confirme l’accélération du phénomène. L’autorité a reçu 5 629 notifications de violations de données, en hausse de 20 % par rapport à 2023. Le nombre de violations touchant plus d’un million de personnes a doublé en un an, passant d’une vingtaine à une quarantaine.

La présidente de la CNIL, Marie-Laure Denis, a elle-même reconnu que 80 % des grandes violations de données de 2024 auraient pu être évitées par la mise en place d’une double authentification. Elle a annoncé vouloir imposer cette mesure aux entreprises et administrations gérant des bases de plus de deux millions de personnes, avec des contrôles massifs prévus en 2026.

Mais la double authentification, aussi indispensable soit-elle, ne résout qu’une partie du problème. Elle réduit la probabilité d’une intrusion. Elle ne réduit pas la surface d’exposition. Quand une base contient 20 ans d’historique au lieu de 3, l’impact d’une fuite est multiplié par un facteur considérable, quelle que soit la robustesse de l’authentification.

Le DPO, rempart sous-estimé contre la fraude identitaire

Chaque organisme qui sur-conserve des données contribue involontairement au puzzle de l’usurpation d’identité. Cette phrase mérite d’être relue. Car elle change la perspective sur le rôle du Délégué à la protection des données.

Le DPO qui insiste pour faire purger une base vieille de 15 ans n’est pas un empêcheur de tourner en rond. Il n’est pas non plus un bureaucrate obsédé par la conformité formelle. Il est, très concrètement, un rempart contre la fraude identitaire de masse. Chaque enregistrement supprimé dans les délais est un enregistrement qui ne figurera pas dans la prochaine fuite. Chaque champ de données dont la collecte a été remise en question est un champ qui ne viendra pas enrichir le profil d’un citoyen sur le dark web.

Cette réalité confère au travail quotidien du DPO une dimension opérationnelle que l’on sous-estime trop souvent. Quand un DPO externe bataille avec une direction informatique pour obtenir la purge d’une base clients qui n’a pas été nettoyée depuis la création de l’organisme, ce n’est pas un exercice de style réglementaire. C’est un acte de prévention de la cybercriminalité.

Ce qu’il faudrait changer

La situation actuelle appelle des évolutions sur plusieurs fronts.

Rendre les durées de conservation réellement opposables. La CNIL devrait systématiquement contrôler les politiques de conservation et sanctionner les dépassements avec la même sévérité que les failles de sécurité. La sur-conservation devrait être traitée comme un facteur aggravant dans le calcul des amendes en cas de violation de données.

Créer un indicateur d’exposition cumulée. Les autorités de protection des données devraient pouvoir évaluer, à l’échelle nationale, le nombre de personnes figurant dans plusieurs fuites simultanément. Cet indicateur permettrait de mesurer le risque réel d’usurpation d’identité et de déclencher des alertes ciblées.

Imposer la minimisation comme condition préalable. Avant même de parler de sécurité technique, il faudrait que chaque organisme démontre qu’il ne conserve que les données strictement nécessaires, pour la durée strictement nécessaire. La meilleure protection contre la fuite d’une donnée reste de ne pas la détenir.

Responsabiliser sur le risque d’agrégation. Les analyses d’impact (AIPD) devraient intégrer systématiquement le risque de croisement avec d’autres fuites. Un opérateur télécom qui conserve des IBAN devrait évaluer l’impact de cette conservation au regard des fuites connues chez d’autres acteurs du même écosystème.

Le vrai test du RGPD

Le RGPD n’a pas échoué en tant que texte. Il a échoué dans son application face au phénomène d’agrégation. Ses principes sont pertinents. Ses outils existent. Mais son application reste fragmentée, organisme par organisme, fuite par fuite, sanction par sanction.

Or les cybercriminels, eux, ne raisonnent pas en silo. Ils agrègent. Ils croisent. Ils enrichissent. Ils assemblent les pièces du puzzle que nous leur offrons par notre négligence collective dans la conservation des données.

En 2024, la CNIL a prononcé 87 sanctions pour un total de 55,2 millions d’euros d’amendes. En ce début 2026, les sanctions tombent plus lourdement encore : 42 millions pour Free, 5 millions pour France Travail. Mais ces montants, aussi spectaculaires soient-ils, ne suffiront pas à réparer les dommages causés aux millions de Français dont l’identité numérique est désormais entre les mains de cybercriminels.

Le vrai test du RGPD en 2026 ne sera pas sa capacité à punir après coup. Ce sera sa capacité à prévenir, en imposant enfin une discipline de conservation qui réduise structurellement la surface d’exposition des citoyens. Et cela passe par la reconnaissance d’un fait simple : dans un monde où les fuites sont inévitables, la seule donnée véritablement protégée est celle qui a été supprimée à temps.