Fuite de données Free et France Travail : vos droits et que faire maintenant

Ce qui s'est passé : deux fuites massives en quelques mois

En 2024, deux cyberattaques majeures ont exposé les données personnelles de dizaines de millions de Français. En janvier 2026, la CNIL a enfin prononcé ses sanctions. Mais pour les victimes, les risques sont toujours présents.

La fuite Free : 24 millions de clients, 5 millions d'IBAN

En octobre 2024, un pirate informatique s'est introduit dans les systèmes de Free et Free Mobile. Le butin : les données de 24 millions de contrats d'abonnés. Parmi elles, 5,11 millions d'IBAN — vos coordonnées bancaires.

Les données volées chez Free comprennent :

• Nom et prénom
• Adresse postale
• Adresse email
• Numéro de téléphone
• Date et lieu de naissance
• Identifiant abonné et données contractuelles
• IBAN (pour certains abonnés Freebox)

Bonne nouvelle relative : les mots de passe et numéros de carte bancaire n'ont pas été compromis.

Le 13 janvier 2026, la CNIL a sanctionné Free d'une amende totale de 42 millions d'euros (27 millions pour Free Mobile, 15 millions pour Free). Motif : des mesures de sécurité insuffisantes, notamment une authentification VPN trop faible.

La fuite France Travail : 36,8 millions de demandeurs d'emploi

Entre février et mars 2024, des pirates ont exploité une faille de sécurité chez France Travail (ex-Pôle Emploi). Résultat : 36,8 millions de personnes touchées — soit tous les inscrits actuels et ceux des 20 dernières années.

Les données volées chez France Travail comprennent :

• Nom et prénom
• Date de naissance
• Numéro de sécurité sociale
• Identifiant France Travail
• Adresse email et postale
• Numéro de téléphone
• Informations liées au handicap (données de santé)

Là encore, pas de mots de passe ni de coordonnées bancaires. Mais le numéro de sécurité sociale est une donnée particulièrement sensible : il ne change jamais et peut servir à usurper votre identité.

Le 22 janvier 2026, la CNIL a infligé 5 millions d'euros d'amende à France Travail, avec une astreinte de 5 000 euros par jour de retard si les mesures correctives ne sont pas mises en place.

Comment savoir si vos données ont fuité ?

Vous n'avez pas reçu d'email de Free ou France Travail ? Cela ne signifie pas que vous n'êtes pas concerné. Voici comment vérifier.

Méthode 1 : vérifier sur Have I Been Pwned

Le site Have I Been Pwned (haveibeenpwned.com) est une référence mondiale pour vérifier si votre email apparaît dans des fuites de données connues. La fuite Free y a été ajoutée.

Comment faire :

• Rendez-vous sur haveibeenpwned.com
• Entrez votre adresse email
• Le site vous indique dans quelles fuites votre email apparaît

Méthode 2 : vérifier vos emails

Free et France Travail ont l'obligation légale (RGPD) d'informer individuellement les personnes concernées. Vérifiez vos emails (y compris les spams) pour retrouver d'éventuelles notifications.

Méthode 3 : partir du principe que vous êtes concerné

Si vous avez été client Free ou inscrit à Pôle Emploi/France Travail au cours des 20 dernières années, considérez que vos données sont probablement dans la nature. Mieux vaut prendre des précautions inutiles que subir une arnaque.

Quels sont les risques concrets pour vous ?

Des données personnelles dans la nature, c'est une mine d'or pour les escrocs. Voici ce qui peut vous arriver.

Le phishing ultra-ciblé

Avec votre nom, adresse, email et numéro de téléphone, les arnaqueurs peuvent créer des messages très crédibles. Attendez-vous à recevoir des emails ou SMS qui semblent provenir de Free, France Travail, votre banque ou les impôts.

Exemple type : « Bonjour M. Dupont, suite à la fuite de données France Travail, nous vous invitons à sécuriser votre compte en cliquant ici... »

Les faux conseillers téléphoniques

Un escroc vous appelle en se présentant comme un conseiller Free ou de votre banque. Il connaît votre nom, adresse, voire les derniers chiffres de votre IBAN. Il vous met en confiance, puis vous demande de « confirmer » vos coordonnées bancaires complètes ou de valider une opération.

Les prélèvements frauduleux (si votre IBAN a fuité)

Avec un IBAN seul, un escroc ne peut pas vider votre compte. Mais il peut tenter de créer de faux mandats de prélèvement SEPA. Sans vigilance, vous pourriez voir apparaître des prélèvements non autorisés.

L'usurpation d'identité

Avec suffisamment d'informations (nom, adresse, date de naissance, numéro de sécurité sociale), un escroc peut tenter d'usurper votre identité : ouvrir des comptes, souscrire des crédits, ou accéder à des services en votre nom.

Le SIM swapping

L'escroc contacte votre opérateur en se faisant passer pour vous et demande le transfert de votre numéro sur une nouvelle carte SIM. Résultat : il reçoit vos SMS, y compris les codes de validation bancaire.

Que faire immédiatement pour vous protéger ?

Pas de panique, mais agissez vite. Voici les actions prioritaires.

1. Surveillez vos comptes bancaires

Pendant les prochains mois, vérifiez régulièrement vos relevés. Au moindre prélèvement suspect, contactez votre banque pour le contester et demander le remboursement.

2. Demandez une liste blanche à votre banque

Vous pouvez demander à votre banque de n'autoriser que les prélèvements SEPA provenant de créanciers que vous avez préalablement approuvés. C'est le moyen le plus efficace de bloquer les prélèvements frauduleux.

3. Méfiez-vous des appels et messages

Les prochaines semaines, soyez particulièrement vigilant :

• Ne cliquez jamais sur un lien dans un email ou SMS vous demandant de « sécuriser votre compte »
• Ne donnez jamais vos coordonnées bancaires par téléphone, même si l'interlocuteur semble connaître vos informations
• En cas de doute, raccrochez et rappelez vous-même le numéro officiel de l'organisme

4. Renforcez vos mots de passe

Même si les mots de passe n'ont pas fuité, profitez-en pour renforcer votre sécurité :

• Utilisez des mots de passe uniques pour chaque service
• Activez la double authentification partout où c'est possible
• Changez en priorité les mots de passe de votre banque, email principal et impôts

5. Surveillez votre ligne téléphonique

En cas de perte prolongée de réseau sur votre mobile, contactez immédiatement votre opérateur. Cela pourrait être le signe d'un SIM swapping.

Vos droits en tant que victime

Le RGPD vous protège. Voici ce que vous pouvez faire.

Déposer plainte auprès de la CNIL

Vous pouvez signaler la violation à la CNIL si vous estimez que vos droits n'ont pas été respectés. La CNIL a déjà sanctionné Free et France Travail, mais votre plainte peut alimenter d'éventuelles procédures complémentaires.

Comment faire : rendez-vous sur cnil.fr, rubrique « Plaintes ».

Déposer une plainte pénale

Le site cybermalveillance.gouv.fr met à disposition des lettres-plaintes pré-rédigées pour les victimes des fuites France Travail et Free. Vous pouvez les télécharger et les déposer auprès de la police ou gendarmerie.

Demander une indemnisation

L'article 82 du RGPD vous donne le droit d'obtenir réparation pour tout préjudice matériel ou moral subi suite à une violation de vos données.

Préjudice matériel : frais de remplacement de carte bancaire, temps passé à gérer la situation, pertes financières liées à une fraude.

Préjudice moral : stress, anxiété, atteinte à la vie privée. La Cour de justice européenne a confirmé que ce préjudice est indemnisable s'il est démontré.

Documenter les préjudices

Pour toute demande d'indemnisation future, conservez :

• Les notifications reçues de Free ou France Travail
• Les échanges avec votre banque
• Les captures d'écran de tentatives de phishing
• Les relevés bancaires montrant des opérations suspectes
• Tout justificatif de frais engagés

Et si vous êtes une entreprise ?

Ces fuites massives sont un rappel brutal : la sécurité des données n'est pas optionnelle. Free a payé 42 millions d'euros, France Travail 5 millions. Et au-delà des amendes, c'est la confiance des clients qui est durablement affectée.

Ce que la CNIL a reproché à Free et France Travail :

• Authentification insuffisante (possibilité de tester 50 mots de passe avant blocage chez France Travail)
• Absence de double authentification sur les accès VPN
• Journalisation insuffisante pour détecter les comportements anormaux
• Habilitations d'accès trop larges

Si vous collectez des données personnelles sur votre site (formulaires, newsletter, comptes clients), assurez-vous d'avoir les bases : politique de confidentialité conforme, mentions légales à jour, et mesures de sécurité adaptées.

Besoin de mettre votre site en conformité ? RGPDKit génère automatiquement vos documents légaux en quelques minutes, adaptés à votre activité.

Ressources utiles

• Have I Been Pwned — haveibeenpwned.com — pour vérifier si votre email a fuité
• Cybermalveillance.gouv.fr — conseils et lettres-plaintes pour les victimes
• 17Cyber — service public d'assistance en ligne, accessible 24h/24
• CNIL — cnil.fr — pour déposer une plainte ou consulter vos droits

En résumé

Les fuites Free et France Travail ont exposé les données de dizaines de millions de Français. Si vous êtes concerné, les risques sont réels : phishing, arnaques téléphoniques, prélèvements frauduleux, usurpation d'identité.

Les bonnes nouvelles : vous avez des droits (plainte CNIL, indemnisation RGPD), et des actions simples peuvent vous protéger (surveillance bancaire, liste blanche, vigilance accrue).

Les entreprises, elles, doivent retenir la leçon : la conformité RGPD n'est pas une formalité administrative. C'est une protection pour vos clients — et pour vous-même.