En 2025, fuites massives de données personnelles et projet de dérégulation UE

En l’espace de douze mois, une suc­ces­sion inédite de cyber­at­taques a éparpil­lé des mil­lions de don­nées sen­si­bles d’une large majorité de Français­es et de Français. Admin­is­tra­tions, ser­vices publics et grandes entre­pris­es ont vu leurs bases cir­culer hors de tout cadre offi­ciel.

Cela est à rap­procher du pro­jet européen de déré­gle­menter la pro­tec­tion de nos don­nées pour favoris­er l’en­traîne­ment des sys­tèmes d’IA (plan omnibus numérique). Ce texte vise à “alléger” les dis­po­si­tions en vigueur, notam­ment celles du RGPD (Régle­ment général sur la pro­tec­tion des don­nées, appliqué dans toute l’Eu­rope depuis 2018).

Ci-dessous extraits d’un arti­cle de Médi­a­part et d’un de l’EDRi (Euro­pean Dig­i­tal Rights), et d’autres sources.

Au 31 décem­bre, une large majorité de la pop­u­la­tion a vu ses don­nées per­son­nelles cir­culer en dehors des sys­tèmes cen­sés les pro­téger. Côté admin­is­tra­tions, des bases issues des min­istères de l’intérieur et des sports, de France Tra­vail, de plus d’un mil­li­er de mairies ou de plusieurs agences régionales de san­té (ARS) ont été exposées. Côté privé, de gros opéra­teurs comme SFR ou Bouygues Tele­com se sont fait piéger au même titre qu’Air France, Auchan ou Leroy Mer­lin, ain­si que des cen­taines de cab­i­nets médi­caux.

Une ving­taine de fédéra­tions sportives, dont l’Union nationale du sport sco­laire (UNSS), ain­si que des fac­ultés comme Sor­bonne Uni­ver­sité, ont égale­ment vu leurs bases cir­culer. À la Fédéra­tion française de tir, une fuite a exposé en octo­bre des don­nées sen­si­bles liées aux licencié·es. Ces infor­ma­tions per­me­t­tent d’identifier des déten­teurs et déten­tri­ces d’armes et de cibler des adress­es, exposant les domi­ciles visés à des cam­bri­o­lages.

La Com­mis­sion nationale de l’informatique et des lib­ertés (Cnil) con­firme une ten­dance à la hausse du vol­ume de vio­la­tions de don­nées noti­fiées (plus 20%). Son bilan enreg­is­trait une forte aug­men­ta­tion des sanc­tions (dou­ble­ment) et des mis­es en demeure et rap­pels aux oblig­a­tions légales.

Pour le hack­er éthique Clé­ment Domin­go, con­nu sous le pseu­do­nyme de “SaxX”, 2025 mar­que une rup­ture“En 2024, on pen­sait déjà avoir atteint un pla­fond. Cette année, il n’y a pas eu de pause. Pas une semaine sans une fuite majeure, résume-t-il. Ce qui le frappe autant que le rythme, c’est la nature des infor­ma­tions exposées : On ne par­le plus seule­ment d’e‑mails ou de mots de passe, mais de don­nées d’identité com­plètes, par­fois enrichies par des infor­ma­tions médi­cales ou admin­is­tra­tives.

Au fil des mois, il dit avoir con­sti­tué un dossier à par­tir de fichiers de ces don­nées cir­cu­lant entre cyber­crim­inels. Sur la base des doc­u­ments qu’il affirme avoir pu exam­in­er, il avance qu’env­i­ron 600 mil­lions de don­nées per­son­nelles liées à des Français·es seraient aujourd’hui agrégées dans ces bases. “C’est une esti­ma­tion basse, fondée sim­ple­ment sur ce que j’ai vu, pré­cise-t-il. La cir­cu­la­tion de ces fichiers laisse sup­pos­er des vol­umes encore plus impor­tants.” SaxX explique qu’à par­tir d’un sim­ple mail, il devient pos­si­ble de retrac­er presque toute la vie admin­is­tra­tive d’une per­son­ne.

Une fois col­lec­tées, ces infor­ma­tions ne restent pas dis­per­sées. Elles se retrou­vent regroupées sur quelques plate­formes du dark web, acces­si­bles par des nav­i­ga­teurs spé­ci­fiques, dont Breach­Fo­rums. À pre­mière vue, le site ne détonne pas : une inter­face sim­ple, struc­turée comme un forum grand pub­lic ; des fils de dis­cus­sion empilés, mal­gré des pages plutôt lentes à se charg­er. Rien, visuelle­ment, ne dis­tingue cette plate­forme clan­des­tine d’un espace com­mu­nau­taire ordi­naire.

Les rubriques, en revanche, en dis­ent long. “Data­bas­es”, “mar­ket­place”, sec­tions “tech” con­sacrées aux logi­ciels malveil­lants ou aux méth­odes d’intrusion : tout s’articule autour du “breach”, le terme anglais pour désign­er une vio­la­tion, ici celle de bases de don­nées entières.

L’inscription ne con­stitue pas un obsta­cle. Une adresse mail, un pseu­do­nyme et un mot de passe suff­isent pour accéder au site. Les dis­cus­sions vis­i­bles exis­tent, mais restent sec­ondaires. Ce qui fait vivre le site, ce sont les fichiers qui ont fuité.

Les “leaks” s’échangent par un sys­tème de crédits. Con­tre quelques euros en cryp­tomon­naies, les util­isa­teurs et util­isatri­ces peu­vent acheter des lots don­nant accès à de vastes ensem­bles de don­nées. Les don­nées y sont exposées comme n’importe quelle marchan­dise, avec un inti­t­ulé, un vol­ume, un prix et des mis­es à jour au gré des nou­velles fuites.

Pour illus­tr­er l’impact con­cret : “Per­son­ne n’accepterait de se promen­er dans la rue avec une pan­car­te indi­quant son nom, son adresse et son numéro de télé­phone”, souligne SaxX. Selon lui, c’est pour­tant exacte­ment l’effet pro­duit par ces bases, qui exposent des infor­ma­tions intimes sans que les per­son­nes con­cernées aient le moin­dre con­trôle.

Les ten­ta­tives de fraude ont ain­si gag­né en pré­ci­sion. Les SMS de phish­ing intè­grent désor­mais le nom et le prénom de la vic­time, par­fois son adresse. De faux avis d’amende liés à une plaque d’immatriculation ou de pré­ten­dus rem­bourse­ments de l’assurance-maladie ser­vent de pré­texte pour soutir­er des coor­don­nées ban­caires. Un moment d’inattention suf­fit pour laiss­er fil­er numéro de carte, date d’expiration et cryp­togramme.

Der­rière ces fuites, les méth­odes d’intrusion sont sou­vent moins sophis­tiquées qu’on ne l’imagine. Le fac­teur humain joue un rôle cen­tral et, dans cer­tains cas, le piratage de deux ou trois comptes suf­fit à remon­ter jusqu’aux sys­tèmes cen­traux, souligne le hack­er. 

Cette mécanique, Gabriela Belaïd l’a vue fonc­tion­ner de l’intérieur. Pen­dant plus de quinze ans, elle a tra­vail­lé dans les ser­vices infor­ma­tiques de l’État, des hôpi­taux de Paris au min­istère de la san­té, puis pour des organ­ismes liés aux agences régionales de san­té et à la Haute Autorité de san­té, manip­u­lant des don­nées sen­si­bles avant et après l’entrée en vigueur du règle­ment général sur la pro­tec­tion des don­nées (RGPD), le cadre européen en vigueur. 

Elle se sou­vient de sys­tèmes anciens, par­fois à bout de souf­fle. “J’ai vu des solu­tions obsolètes que l’on ne pou­vait même plus met­tre à jour”, racon­te-t-elle. Faute de bud­get ou à cause des délais imposés par les marchés publics, ces infra­struc­tures con­tin­u­aient pour­tant de fonc­tion­ner. 

Mais la sous-trai­tance, y com­pris auprès de gros indus­triels (par exem­ple Microsoft pour le Health Data Hub en matière de don­nées de san­té) ne donne pas non plus toutes les garanties néces­saires. La mul­ti­pli­ca­tion des points d’en­trée dans les bases comme les failles des proces­sus de trans­fert de ces don­nées , la ten­ta­tion de ces sous-trai­tants de mon­nay­er les don­nées stock­ées comme des dis­posi­tifs légaux pour le faire (le cloud act améri­cain par exem­ple) sont autant de motifs de fuites. Le cas de Doc­tolib (hébergé par Ama­zon) est tout aus­si éclairant.

Par ailleurs, l’inter­con­nex­ion de fichiers publics (aupar­a­vant inter­dites, du temps de la loi Infor­ma­tique et Lib­ertés de 1978), le droit de leur con­sul­ta­tion ouvert à de plus en plus d’agent.es (désor­mais plus oblig­a­toire­ment assermenté.es) ont été mis en oeu­vre pour favoris­er le pistage des indi­vidus (comme par exem­ple dans la Loi con­tre les fraudes sociales et fis­cales, actuelle­ment en dis­cus­sion). Les deux con­tribuent aux fuites en mul­ti­pli­ant les points de con­nex­ion pos­si­bles et les intervenant.es moins qualifié.es et/ou moins responsabilisé.es.

Dans les faits, les cyber­at­taques ne passent pas par des prouess­es tech­niques spec­tac­u­laires. Gabriela Belaïd insiste sur ce point : “Il faut arrêter d’imaginer que les hack­ers sont tou­jours ultra-sophis­tiqués. Sou­vent, les portes sont déjà entrou­vertes : comptes mal pro­tégés, mots de passe trop sim­ples ou réu­til­isés, absence de dou­ble authen­tifi­ca­tion.” 

Le fac­teur humain demeure, pour elle comme pour le hack­er éthique, le mail­lon le plus vul­nérable des sys­tèmes. De plus, la sécu­rité infor­ma­tique dans le ser­vice pub­lic repose large­ment sur des con­trats à durée déter­minée, avec un turn-over impor­tant. Gabriela Belaïd en est elle-même un exem­ple, après avoir enchaîné les CDD pen­dant plus de quinze ans. “Les procé­dures se frag­ilisent à mesure que les équipes se renou­vel­lent”, explique-t-elle. La cyber­sécu­rité n’est jamais une pri­or­ité dans le quo­ti­di­en des salariés, con­state-t-elle.

Sur l’intel­li­gence arti­fi­cielle, qu’elle défend par ailleurs dans le cadre du plan nation­al “Osez l’IA”, Gabriela Belaïd se mon­tre pru­dente. Cette tech­nolo­gie ne crée pas de nou­velles cyber­at­taques, “elle va surtout les ren­dre plus rapi­des, plus mas­sives et plus crédi­bles. Des tâch­es qui pre­naient du temps sont désor­mais automa­tisées, ce qui per­met de lancer plusieurs attaques en même temps et de réduire forte­ment les coûts. Selon elle, l’IA rend aus­si la cyber­at­taque plus acces­si­ble. “Elle va per­me­t­tre à de plus petites organ­i­sa­tions de pro­gram­mer des attaques, là où cela demandait aupar­a­vant des com­pé­tences tech­niques élevées. 

Le min­istère chargé du numérique rap­pelle la présen­ta­tion prochaine d’une nou­velle stratégie nationale de cyber­sécu­rité, adossée au pro­jet de loi “résilience”, déjà adop­tée depuis mars au Sénat et qui serait exam­inée prochaine­ment par l’Assemblée nationale. Davan­tage d’organisations devront ren­forcer la pro­tec­tion de leurs sys­tèmes, sig­naler plus rapi­de­ment les inci­dents et se soumet­tre à des con­trôles, sous peine de sanc­tions.

Le min­istère s’en remet aus­si aux indi­vidus : “La pro­tec­tion de la nation repose sur la vig­i­lance et la mobil­i­sa­tion de cha­cun d’entre nous, et une respon­s­abil­ité partagée : celle de bâtir ensem­ble notre résilience cyber­col­lec­tive.” Mais, à ce jour, aucun bilan chiffré glob­al n’est pro­duit con­cer­nant les fuites sur­v­enues en 2025, ni d’éléments pré­cis sur les failles mis­es au jour. 

Il y a néces­sité, en France (car le RGPD européen ne peut suf­fire), d’une nou­velle lég­is­la­tion pro­tec­trice de nos don­nées per­son­nelles :

  • qui inter­dise l’in­ter­con­nex­ion de bases de don­nées en ver­tu du principe de min­imi­sa­tion (art­cle 5 du RGPD) et de la pro­tec­tion des don­nées sen­si­bles (arti­cle 9, notam­ment celles liées à la san­té arti­cle 4–15).
  • qui réin­tè­gre cette ges­tion des don­nées dans les ser­vices des admin­is­tra­tions con­cernées, avec l’emploi de logi­ciels libres (par exem­ple comme le pro­pose Inter­Hop avec son Libre­DataHub).
  • qui lim­ite stricte­ment la con­sul­ta­tion et l’usage de ces don­nées à des agent.es permanent.es, assermenté.es et donc responsabilisé.es.
  • qui inter­dise l’emploi de ces don­nées per­son­nelles pour servir de base de répons­es aux sys­tèmes d’IA.

Comme dans le domaine écologique, la nou­velle com­mis­sion européenne, entrée en fonc­tion le 1e décem­bre 2024, a entre­pris de détri­cot­er le droit européen de pro­tec­tion des don­nées. Glisse­ment à droite de cet exé­cu­tif, pou­voir per­son­nel de la prési­dente comme moin­dre résis­tance aux exi­gences améri­caines expliquent ces revire­ments face à une lég­is­la­tion plus pro­tec­trice qui se con­stru­i­sait depuis quelques années (autour du RGPD, de la direc­tive ePri­va­cy, du DSA [Dig­i­tal Ser­vice Act], du règle­ment IA…).

Cette dérégu­la­tion est aus­si à rap­procher de la volon­té européenne de favoris­er le développe­ment d’une IA européenne … au détri­ment du droit de pro­tec­tion de ses habitant.es ! Au moment où les piratages se mul­ti­plient, la com­mis­sion choisit d’af­faib­lir les pro­tec­tions et les out­ils de con­trôles.

Fin novem­bre, la com­mis­sion a présen­té deux propo­si­tions de loi omnibus sur le numérique (Loi omnibus glob­ale sur le numérique et Loi omnibus sur le numérique rel­a­tive à l’IA), s’in­scrivant dans un vaste pro­gramme de déré­gle­men­ta­tion des poli­tiques numériques de l’UE et des pro­tec­tions des droits humains.

La loi Omnibus affaib­lit la direc­tive ePri­va­cy en trans­férant la dis­po­si­tion clé rel­a­tive à l’ac­cès aux don­nées des appareils vers le RGPD. Le con­sen­te­ment restera néces­saire pour la plu­part des suiv­is, mais plusieurs excep­tions générales per­me­t­tront tou­jours aux entre­pris­es de lire les don­nées sur les appareils sans autori­sa­tion. Le sig­nal de con­fi­den­tial­ité est le seul point posi­tif. Il offre aux indi­vidus un moyen clair de refuser l’ac­cès, mais il ne s’ap­plique qu’après deux ans et ne con­cerne pas de nom­breux sites d’in­for­ma­tion.

Cette même propo­si­tion remanie égale­ment des élé­ments essen­tiels du RGPD. Elle restreint la déf­i­ni­tion des don­nées per­son­nelles par le biais d’un nou­veau con­sid­érant qui per­met aux entre­pris­es de s’au­to-éval­uer, autorise l’util­i­sa­tion sans con­trôle des don­nées les plus intimes des indi­vidus pour l’en­traîne­ment des sys­tèmes d’IA et remod­èle la prise de déci­sion automa­tisée, ce qui peut avoir des con­séquences dis­crim­i­na­toires et per­me­t­tre une util­i­sa­tion plus large et moins encadrée.

Pris­es ensem­ble, ces mod­i­fi­ca­tions don­nent aux autorités éta­tiques et aux grandes entre­pris­es davan­tage de lat­i­tude pour col­lecter et traiter les don­nées per­son­nelles, avec un con­trôle lim­ité et une trans­parence réduite. Les citoyens per­dront des garanties essen­tielles, et les com­mu­nautés minori­taires seront encore plus exposées au pro­fi­lage, aux déci­sions automa­tisées et à la sur­veil­lance intru­sive.