Si vos clients ont un jour demandé un passeport, renouvelé leur permis ou immatriculé un véhicule en ligne, leurs données personnelles sont probablement en vente sur le dark web en ce moment.
Le 15 avril 2026, l'Agence nationale des titres sécurisés (ANTS), rebaptisée France Titres en 2024, a détecté une intrusion sur son portail ants.gouv.fr. Cinq jours plus tard, le ministère de l'Intérieur confirmait l'ampleur du désastre : 11,7 millions de comptes compromis. Un hacker se faisant appeler "breach3d" avait mis en vente sur un forum cybercriminel une base de données présentée comme issue des systèmes de l'agence, pour un volume annoncé de 18 à 19 millions d'enregistrements, chiffre vraisemblablement gonflé pour mieux négocier le prix.
La faille exploitée est d'une redoutable banalité. Selon les éléments rapportés par FrenchBreaches, il s'agissait d'une vulnérabilité de type IDOR (Insecure Direct Object Reference) : en modifiant un simple identifiant numérique dans une requête HTTP, n'importe qui pouvait accéder aux données d'un autre utilisateur, sans aucun contrôle d'autorisation côté serveur. Le hacker lui-même l'a qualifiée de "vraiment stupide". Pour l'agence qui gère les titres d'identité de dizaines de millions de Français, la formule est difficile à encaisser.
France Titres a notifié la CNIL, l'ANSSI, et transmis un signalement au parquet de Paris en application de l'article 40 du Code de procédure pénale. L'enquête a été confiée à l'Office anti-cybercriminalité (OFAC). Le ministre de l'Intérieur Laurent Nuñez a saisi l'Inspection générale de l'administration pour établir la chaîne de responsabilité. La procédure réglementaire est en marche. Mais ce n'est pas l'État qui gère la relation avec vos clients : c'est vous. Et vos clients vont bientôt recevoir des messages très convaincants.
Ce qui a fuité, et ce qui n'a pas fuité
Avant de décider quoi faire, il faut savoir exactement de quoi on parle. Le périmètre de la violation est précis, et il est important de ne pas le minimiser, ni de le dramatiser au-delà de ce qu'il est.
Cette précision est importante : un fraudeur ne peut pas se connecter au compte ANTS d'une personne pour effectuer des démarches à sa place. Il ne dispose pas du mot de passe. En revanche, il dispose de tout ce qu'il faut pour écrire à cette personne en se faisant passer pour l'ANTS, une préfecture, sa banque, ou votre propre enseigne commerciale.
Bon à savoir : en septembre 2025, une première annonce de vente de données prétendument issues de l'ANTS avait circulé sur le dark web. L'ANSSI avait alors conclu à un recyclage de fuites plus anciennes. L'incident d'avril 2026 est différent : il est cette fois confirmé par les autorités elles-mêmes, avec notification à la CNIL et saisine judiciaire.
Le vrai danger : une vague d'hameçonnage ultra-ciblée
Le danger immédiat n'est pas l'accès frauduleux à un compte. Il réside dans la combinaison des données volées avec des techniques d'ingénierie sociale. Un fraudeur qui connaît le nom, le prénom, la date de naissance, l'adresse et l'email d'une personne peut construire un message d'une précision qui désarme même les utilisateurs les plus prudents.
Imaginez le scénario suivant : votre client reçoit un SMS au nom de l'ANTS lui demandant de confirmer son adresse pour recevoir sa nouvelle carte d'identité. Le message cite son prénom, son nom et sa date de naissance. Il semble parfaitement légitime. Il contient un lien vers un faux portail qui lui réclame son numéro de carte bancaire pour régler des frais de réexpédition. Même les utilisateurs avertis peuvent tomber dans ce piège, précisément parce que les données sont vraies.
Plusieurs vecteurs d'attaque sont à anticiper dans les semaines qui suivent ce type de fuite.
Hameçonnage par email
Messages imitant l'ANTS, France Connect, une préfecture ou un opérateur télécom, personnalisés avec les données nominatives de la cible pour maximiser la crédibilité.
Hameçonnage par SMS
Alertes prétendant que le permis de conduire ou la carte grise nécessite une mise à jour urgente, avec lien vers un faux portail gouvernemental imitant ants.gouv.fr.
Croisement de bases de données
Les données ANTS, recoupées avec celles de France Travail (2024) ou de FICOBA (1,2 million d'IBAN volés), permettent de construire des profils très complets pour des fraudes bancaires.
Attention : en tant qu'entreprise, vous pouvez vous-même être usurpé. Un fraudeur peut envoyer des emails en se faisant passer pour vous, en utilisant les données ANTS pour cibler vos propres clients avec des messages nominatifs. Si votre domaine n'est pas correctement protégé, votre réputation est en jeu autant que la sécurité de vos clients.
Ce que vous devez faire maintenant
Vous n'êtes pas responsable de la fuite ANTS. Mais vous êtes responsable de la relation de confiance avec vos clients. Voici les actions concrètes à mener dans les prochains jours, classées par ordre de priorité.
- Envoyez un email d'information à vos clients : informez-les de la fuite ANTS, expliquez les risques, et rappelez-leur que vous ne leur demanderez jamais de confirmer leurs données ou de cliquer sur un lien non sollicité.
- Vérifiez votre authentification d'expéditeur : assurez-vous que vos emails sont bien protégés par SPF, DKIM et DMARC. Sans ces protocoles, un fraudeur peut envoyer des emails qui semblent venir de votre domaine.
- Auditez votre propre politique de confidentialité : elle doit mentionner les bases légales de vos traitements, les données collectées, les durées de conservation et les mesures de sécurité. Si elle date de plus d'un an, vérifiez-la.
- Testez votre procédure de notification : si c'était vous, sauriez-vous notifier la CNIL dans les 72 heures imposées par l'article 33 du RGPD ? Avez-vous un registre des violations à jour ?
- Sensibilisez votre équipe : vos collaborateurs sont aussi des particuliers exposés à la fuite ANTS. Un membre de l'équipe victime d'hameçonnage peut compromettre vos propres accès professionnels.
- Vérifiez vos propres formulaires et API : la faille IDOR de France Titres est une piqûre de rappel. Vos formulaires de contact, vos espaces clients et vos API exposent-ils des identifiants prévisibles ?
Votre politique de confidentialité résisterait-elle à un contrôle CNIL ?
Générez en quelques minutes une politique conforme au RGPD, adaptée à votre activité, avec les clauses sur les violations de données déjà intégrées.
Ce que le RGPD exige en cas de violation de données
L'incident ANTS illustre de façon concrète ce que prévoit le RGPD pour tout responsable de traitement, qu'il s'agisse d'une administration publique ou d'une PME de dix salariés. Si c'était votre base de données client qui avait fuité, voici ce que vous auriez dû faire, et dans quel ordre.
Notification à la CNIL (article 33 du RGPD)
Dès que vous avez connaissance d'une violation susceptible d'engendrer un risque pour les personnes, vous devez notifier la CNIL via son portail. Ce délai court à partir du moment où vous en avez connaissance, pas à partir de la date de l'incident. Une notification en deux temps est possible : une version initiale dans les 72 heures, complétée ensuite dès que vous avez plus d'informations.
Communication aux personnes concernées (article 34 du RGPD)
Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, vous devez les informer directement et clairement. France Titres a commencé à envoyer des notifications personnalisées à l'ensemble des 11,7 millions de comptes concernés.
Documentation dans le registre des violations (article 33, paragraphe 5)
Tout incident de sécurité, même ceux ne nécessitant pas de notification à la CNIL, doit être documenté dans un registre interne. C'est ce registre que la CNIL peut vous demander lors d'un contrôle, même inopiné.
Les sanctions prévues par le RGPD sont graduées. Le non-respect de l'obligation de notification (article 83, paragraphe 4) peut être sanctionné jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel. Les manquements les plus graves, relatifs aux droits fondamentaux des personnes (article 83, paragraphe 5), peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires. Pour une TPE, même le premier seuil représente une menace existentielle.
Votre politique de confidentialité est-elle à la hauteur ?
La fuite ANTS est aussi l'occasion d'une piqûre de rappel sur vos propres documents juridiques. Une politique de confidentialité n'est pas qu'une formalité légale à cocher lors du lancement d'un site : c'est le contrat de confiance que vous passez avec vos utilisateurs sur la façon dont vous traitez leurs données.
Une politique conforme au RGPD doit préciser : l'identité du responsable de traitement, les finalités et bases légales de chaque traitement (consentement au sens de l'article 6.1.a, intérêt légitime au sens de l'article 6.1.f, obligation légale au sens de l'article 6.1.c), les durées de conservation, les destinataires des données, et les droits des personnes concernées (accès, rectification, effacement, opposition, portabilité). Elle doit aussi mentionner l'existence d'éventuels transferts hors de l'Union européenne.
Pour les PME et freelances
Vous collectez des emails, des noms, des numéros de téléphone via votre formulaire de contact ou votre boutique en ligne. C'est suffisant pour avoir des obligations RGPD complètes et pour être une cible en cas de fuite.
- Vérifiez que votre politique de confidentialité est accessible depuis chaque formulaire
- Documentez la base légale de chaque collecte de données
- Préparez un modèle d'email de notification clients en cas d'incident
Pour les agences web et DPO
Vous gérez les données de vos clients ET celles de leurs utilisateurs finaux. Votre responsabilité est double : en tant que sous-traitant, votre contrat de traitement des données (article 28 du RGPD) doit être formalisé pour chaque client.
- Vérifiez vos avenants de sous-traitance au sens de l'article 28 du RGPD
- Assurez-vous que chaque site client dispose d'une politique de confidentialité conforme
- Formalisez une procédure de remontée d'incident entre vous et vos clients
Questions fréquentes
La fuite ANTS concerne-t-elle forcément mes clients ?
Statistiquement, oui pour une grande partie d'entre eux. France Titres gère les passeports, cartes d'identité, permis de conduire et immatriculations de la quasi-totalité des adultes français ayant effectué ces démarches en ligne. Avec 11,7 millions de comptes concernés, la probabilité qu'une partie significative de votre base client soit touchée est élevée, surtout si votre clientèle est française et adulte.
Mon entreprise est-elle légalement obligée de prévenir ses clients après la fuite ANTS ?
Non, pas directement. La fuite ANTS est le fait de France Titres, pas le vôtre. Votre obligation de notification au sens des articles 33 et 34 du RGPD ne s'applique qu'en cas de violation de vos propres traitements de données. En revanche, informer vos clients de manière proactive est une bonne pratique qui renforce la confiance et les protège d'éventuelles tentatives d'hameçonnage exploitant votre marque ou votre domaine.
Qu'est-ce qu'une faille IDOR et comment éviter d'en avoir une sur mon site ?
Une faille IDOR (Insecure Direct Object Reference) survient quand une application utilise des identifiants prévisibles (numéro incrémental, ID séquentiel) pour accéder à des ressources, sans vérifier que l'utilisateur qui fait la demande est bien autorisé à y accéder. Pour l'éviter : utilisez des identifiants non prévisibles de type UUID, contrôlez systématiquement les droits d'accès côté serveur avant de retourner une donnée, et faites auditer votre code par des tests de sécurité automatisés et manuels au moins une fois par an.
Comment savoir si mon compte ANTS est parmi les 11,7 millions touchés ?
France Titres a annoncé l'envoi de notifications personnalisées aux comptes concernés. Vous pouvez également consulter le service HaveIBeenPwned (haveibeenpwned.com) qui répertorie les fuites connues. En attendant, appliquez les mesures de précaution de base : méfiez-vous de tout message non sollicité mentionnant vos données personnelles, et ne cliquez sur aucun lien prétendant venir de l'ANTS, de France Connect ou d'un service public.
Que doit contenir mon email d'alerte à mes clients après la fuite ANTS ?
Un bon email d'alerte doit : expliquer brièvement la fuite ANTS et les types de données concernées, rappeler clairement que votre entreprise ne demandera jamais par email ou SMS de confirmer des données personnelles ou de cliquer sur un lien suspect, inviter vos clients à signaler tout message douteux sur signal-spam.fr ou au 33 700 pour les SMS, et leur rappeler leurs droits d'accès et de rectification sur les données que vous détenez vous-même à leur sujet.
La CNIL peut-elle me sanctionner à cause de la fuite ANTS ?
Non, si votre propre système n'est pas en cause. La CNIL sanctionne les responsables de traitement pour des manquements dans leurs propres traitements de données. En revanche, si la fuite ANTS inspire un contrôle de vos pratiques, une politique de confidentialité incomplète, un registre des traitements inexistant ou une absence de procédure de notification pourraient faire l'objet de sanctions tout à fait indépendantes de l'incident ANTS.
Jérémy Pierre
Expert en conformité RGPD, Jérémy accompagne les sites et agences dans la mise en conformité de leurs traitements de données depuis le lancement de RGPDKit.