L’Agence nationale des titres sécurisés, qui gère notamment les démarches liées aux cartes d’identité, passeports, permis de conduire et certificats d’immatriculation, a détecté un incident de sécurité susceptible d’avoir entraîné une divulgation de données personnelles. L’information a été rendue publique par le ministère de l’Intérieur.
Des comptes de particuliers et de professionnels sont concernés
Selon le ministère, l’incident pourrait concerner des données issues de comptes de particuliers et de professionnels. Les usagers identifiés comme concernés font l’objet d’une information personnalisée.
Pour les comptes de particuliers, les données potentiellement compromises sont, à ce stade, des données d’identification : identifiant de connexion, civilité, nom, prénoms, adresse électronique, date de naissance et identifiant unique du compte. Le ministère ajoute que d’autres informations, non systématiquement présentes dans les comptes, pourraient aussi être concernées, comme l’adresse postale, le lieu de naissance et le numéro de téléphone.
Le ministère précise que la divulgation ne concerne pas les données complémentaires transmises lors des démarches administratives, notamment les pièces jointes. Il affirme également que les données mentionnées ne permettent pas, à elles seules, un accès illégitime au compte du portail.
20 millions de Français touchés ?
À ce stade, aucun nombre exact de comptes ou de personnes concernées n’a été officiellement confirmé par le ministère. Mais environ 20 millions de Français pourraient avoir été touchés par ce piratage.
Le ministère de l’Intérieur indique qu’un signalement a été transmis à la procureure de la République de Paris, en application de l’article 40 du code de procédure pénale, en vue de l’ouverture d’une enquête. Il précise aussi que des mesures de renforcement de la sécurité ont été mises en place pour assurer la continuité du service et la protection des données.
Quels risques pour les personnes concernées ?
Une fuite de données personnelles peut exposer les personnes concernées à des tentatives d’hameçonnage ciblé, à des escroqueries, à des usurpations d’identité ou à des tentatives de piratage de comptes. En cas d’exposition, il est conseillé de vérifier auprès du service concerné quelles données ont pu être compromises et de renforcer la sécurité de ses comptes.
Ce que prévoit le cadre légal
La CNIL rappelle qu’une violation de données personnelles correspond notamment à une divulgation non autorisée ou à un accès non autorisé à des données. Le RGPD impose aux organismes concernés de prévenir ces violations, d’y mettre fin lorsqu’elles surviennent et, selon les cas, de notifier la CNIL ainsi que les personnes concernées.
Ce piratage n’est malheureusement pas une première. Dans son rapport annuel 2024, la CNIL indique avoir reçu 5 629 notifications de violations de données, soit 20% de plus qu’en 2023, avec une augmentation des incidents de très grande ampleur touchant parfois plus d’un million de personnes.
