Menu
× Accueil Supprimer un compte Blog Extension Chrome En savoir plus Se connecter S'inscrire
← Blog Droits et données Initié 5 min

Un site revend vos données fuitées 10 € par semaine

Dix euros la semaine pour interroger en quelques clics les fuites françaises de ces deux dernières années. Le tarif est revendiqué publiquement par les opérateurs d'un service qui se présente comme un annuaire pour « retrouver un proche » et qui aspire en réalité une décennie de bases de données piratées. Le passage à l'abonnement a eu lieu le 12 juin, après plusieurs mois d'accès gratuit destiné à constituer une audience. L'enquête de Next révèle l'ampleur du contenu agrégé et la riposte qui se met en place côté gouvernement (Next, 12 juin 2026).

Ce qu'il y a dans le moteur

Le service compile les fuites les mieux documentées qui ont frappé la France ces deux dernières années.

  • 33 millions de profils issus des fuites de 2024 chez Viamedis et Almerys, les deux opérateurs de tiers payant ;

  • 15 millions d'identifiants sécurité sociale au printemps 2026 ;

  • Bouygues Telecom et son fichier client siphonné en mai 2026.

  • La fuite massive de la DGFiP. France Titres pour les comptes ANTS.

À chaque requête sur un nom, un email ou un numéro de téléphone : le moteur recoupe les bases et reconstitue une fiche. Selon les sources, on y trouve des noms, des adresses postales, des dates de naissance, des numéros de téléphone, des emails ainsi que des IBAN et parfois des numéros de sécurité sociale.

Autrement dit, le service vend en clair ce que Fairmi et les associations de défense des droits numériques décrivent depuis des années : une fois qu'une donnée a fuité, elle ne « disparaît » pas. Elle est dupliquée puis indexée avant d’être tout simplement proposée à la vente.

La défense des opérateurs ne tient pas

Le fondateur, qui se présente sous le pseudonyme « Zalko », plaide que son service « agrège des données accessibles publiquement » et qu'il ne fait que « simplifier la vie des gens qui cherchent un proche ». L'argument est juridiquement creux. Une donnée volée à un responsable de traitement reste une donnée à caractère personnel collectée illégalement. Le fait qu'elle ait fuité ne purge pas son statut au regard du RGPD. Le code pénal sanctionne la détention et la cession de données obtenues par atteinte à un système informatique jusqu'à cinq ans d'emprisonnement et 150 000 € d'amende. La peine est portée à dix ans et 300 000 € d'amende lorsque l'infraction est commise en bande organisée.

Le piège de la « demande de suppression »

Première tentation : taper son nom dans le moteur pour vérifier si on y figure. Ou encore demander la suppression de sa fiche. Les deux gestes sont à proscrire.

  • Saisir son nom alimente le service. À chaque requête, le moteur enregistre la donnée d'entrée, ce qui permet à l'opérateur d'enrichir sa base et de prouver à un acheteur potentiel que telle ou telle information est bien associée à une personne réelle.

  • Demander la suppression d'une fiche fait pire encore : cela confirme aux opérateurs que les données contenues dedans sont valides et à jour. Les intervenants cités par Next convergent sur ce point.

Tant que le service n'est pas démantelé, la meilleure attitude est de ne pas interagir avec lui.

Mais alors que faire ?

Surveiller ses comptes bancaires. La présence d'IBAN dans les données agrégées rend les fraudes au prélèvement plus crédibles. Un IBAN ne permet pas de débiter directement un compte. Il permet en revanche de monter un mandat de prélèvement frauduleux que la banque n'identifiera comme suspect qu'après le premier débit. Un prélèvement non autorisé (mandat émis sans accord du titulaire) peut être signalé jusqu'à treize mois après le débit. La banque doit rembourser immédiatement la somme contestée (articles L133-18 et L133-24 du code monétaire et financier). Le délai plus court de huit semaines ne concerne que les prélèvements autorisés contestés a posteriori. Vérifier ses relevés une fois par semaine reste donc le bon réflexe.

Activer la vigilance sur le numéro de sécurité sociale. Pour les personnes touchées par les @fuites Almerys ou Viamedis, le NIR sert essentiellement à monter de faux dossiers de tiers payant, de remboursement complémentaire santé ou d'allocations. L'Assurance maladie permet de consulter son historique de remboursements depuis l'espace Ameli. Toute opération non reconnue se signale à la caisse primaire. Pour les fraudes financières liées à une carte ou à un compte bancaire, le service Perceval, accessible depuis service-public.fr, permet un signalement structuré qui alimente les enquêtes de la gendarmerie.

Redoubler de prudence sur le phishing ciblé. Un attaquant qui dispose d'un nom complet, d'une adresse et d'un numéro de téléphone peut monter un message d'hameçonnage très crédible qui se fait passer pour la banque ou pour un opérateur. Tout message qui presse à agir vite (« votre compte va être bloqué », « confirmez vos coordonnées sous 24 h ») peut être levé par un appel direct à l'organisme via le numéro figurant sur les documents officiels, plutôt que par les liens contenus dans le message.

Signaler le service à PHAROS, la plateforme du ministère de l'Intérieur dédiée aux signalements de contenus illicites en ligne, à l'adresse internet-signalement.gouv.fr. Plus le nombre de signalements est élevé, plus le dossier monte en priorité côté justice.

Le vrai sujet

Ce qui rend ce service possible n'est pas la malveillance d'un fondateur isolé : c'est la persistance de fuites qui n'ont jamais été nettoyées. La CNIL sanctionne les entreprises qui ne protègent pas suffisamment les données.

Ces sanctions punissent le tort initial. Elles ne suppriment ni les copies en circulation ni les bases qui s'agrègent sur des serveurs hors juridiction. Elles ne freinent pas non plus les services qui en font commerce. C'est ce trou dans la régulation que des opérateurs comme « Zalko » occupent.

Le levier citoyen existe pourtant. Toute personne dont les données sont exposées peut, sur le fondement de l'article 82 du RGPD, demander réparation du préjudice subi à l'entreprise responsable de la fuite initiale. Des démarches collectives portées par des associations de défense des consommateurs ont déjà été annoncées contre plusieurs des responsables de traitement cités plus haut. Les jugements rendus dans ces dossiers diront si le coût d'une fuite pour l'entreprise finit par dépasser le coût d'une vraie politique de protection des données.

En attendant que ce type de service soit démantelé (…) et que les fuites soient réellement nettoyées (re…), la stratégie la plus efficace reste de réduire votre surface d'attaque : moins de sites détiennent vos données, moins de chances qu'une prochaine fuite vous expose.

Savez-vous combien de services ont aujourd'hui accès à votre email, votre adresse ou votre numéro de téléphone, votre IBAN ou vos données de santé ?

Fairmi vous aide à cartographier ces comptes et à supprimer les inutilisés avant que le prochain « Zalko » ne les récupère à votre place.

➡️ Découvrir où sont vos données

Dans la même série

Initié

Doctolib, Google, Anthropic : ce que disent vos données médicales et ce que vous pouvez faire

Le Canard enchaîné accuse Doctolib de transmettre les notes de consultation à Google, Microsoft et Anthropic. Doctolib réfute. Décryptage et leviers concrets.

5 min
Initié

Comment utiliser une IA générative sans lui livrer vos données : la check-list CNIL

La CNIL publie avec son homologue coréen une affiche en 6 questions pour utiliser une IA générative sans lui livrer ses données. Décryptage et limites.

5 min
Initié

Comment savoir si une entreprise sécurise vraiment vos données

La CNIL a publié son guide officiel de la sécurité des données et vient de tirer le bilan d'une année record de sanctions. Voici ce qu'une entreprise doit faire pour vos données et comment le vérifier de l'extérieur.

5 min