Menu
× Accueil Supprimer un compte Blog Extension Chrome En savoir plus
← Blog Droits et données Initié 5 min

Fuite de données à France Titres : 11,7 millions de comptes exposés

Le 21 avril 2026, le ministère de l'Intérieur a confirmé une fuite de données visant France Titres, l'ex-ANTS qui gère en ligne les passeports, cartes d'identité, permis de conduire et certificats d'immatriculation. Avec au moins 11,7 millions de comptes touchés, c’est près d'un Français sur six qui est concerné. L'incident a été découvert le 15 avril, signalé à la CNIL et porté à la connaissance du parquet de Paris.

Qu'est-ce qui a fuité et que faire dans les prochains jours ?

Le saviez-vous ? Depuis l'entrée en application du RGPD en 2018, la CNIL reçoit environ 4 000 notifications de violations de données par an en France. Celle de France Titres figure parmi les plus massives jamais déclarées par un service public français.

Ce qui est sorti (et ce qui ne l'est pas)

Selon le communiqué officiel, les données exposées sont celles qui servent à gérer votre compte France Titres :

  • identifiant de connexion et adresse e-mail,

  • nom, prénom, date de naissance,

  • identifiant unique de compte,

  • pour une partie des comptes : adresse postale, lieu de naissance, numéro de téléphone.

En revanche, les pièces justificatives transmises dans le cadre des démarches ne seraient pas concernées. Pas de scans de passeport, pas de photos d'identité, pas de justificatifs de domicile dans le lot exfiltré (d'après ce que France Titres affirme à ce stade). C'est une précision importante car un attaquant avec un scan de votre pièce d'identité peut ouvrir des comptes en votre nom beaucoup plus facilement qu'avec un simple couple e-mail + date de naissance.

Cela ne veut pas dire que la fuite est anodine. Le jeu nom + prénom + date de naissance + e-mail + téléphone est exactement ce dont un escroc a besoin pour monter un phishing crédible. Un SMS qui reprend votre vrai nom et votre vraie date de naissance en se faisant passer pour France Titres ou pour la Sécurité sociale passe beaucoup mieux qu'un message générique.

Une erreur de développement basique

D'après les premiers éléments rapportés par la presse spécialisée, la brèche proviendrait d'une faille dite IDOR (Insecure Direct Object Reference). En clair : l'application exposait des identifiants de comptes directement dans l'URL, sans vérifier correctement que la personne connectée avait bien le droit d'accéder à ce compte précis. En incrémentant les numéros un à un, il devenait possible de lire les données d'autres utilisateurs.

C'est le type de vulnérabilité que tout audit de sécurité standard repère en quelques jours. Le fait qu'elle ait persisté sur un service d'État manipulant des titres d'identité pose une vraie question de gouvernance technique.

Ce que le RGPD impose à France Titres

Depuis 2018, le Règlement général sur la protection des données fixe deux règles qui s'appliquent ici.

D'abord, toute violation de données personnelles susceptible de présenter un risque pour les personnes doit être notifiée à la CNIL dans les 72 heures (article 33 du RGPD). France Titres indique l'avoir fait.

Ensuite, lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, l'organisme doit prévenir (dans les meilleurs délais) les personnes concernées. Cette information doit préciser la nature de la violation, les conséquences probables et les mesures prises.

Dans les jours qui viennent, les titulaires d'un compte concerné devraient donc recevoir un message de l'administration. Attention : ce sera aussi une occasion idéale pour les escrocs d'envoyer de faux messages de notification.

⚠️ Si vous recevez un tel message, ne cliquez jamais sur un lien depuis l'e-mail ou le SMS. Allez directement sur france-titres.gouv.fr en tapant l'adresse à la main dans votre navigateur.

À retenir : - Le RGPD oblige France Titres à notifier la CNIL sous 72 heures. - Il oblige aussi à prévenir directement les personnes en cas de risque élevé. - Ce message officiel servira de prétexte à des faux messages de phishing : méfiance.

Les cinq réflexes utiles

Même si France Titres affirme qu'aucune démarche n'est nécessaire, il y a un écart entre ce que l'administration dit et ce qui protège réellement. Voici ce que vous pouvez faire sans attendre.

1. Vérifier si votre e-mail est compromis. Le site indépendant haveibeenpwned.com recense la plupart des fuites de grande ampleur. Tapez votre adresse, vous saurez si elle apparaît déjà dans des bases revendues.

2. Changer le mot de passe de votre compte France Titres. Un identifiant de connexion dans la nature combiné à un mot de passe réutilisé ailleurs : et hop vous obtenez l’accès à de nombreux sites ! Prenez un mot de passe long et unique que vous n'utilisez nulle part d'autre. Faites-le à minima pour vos comptes les plus sensibles : email, banque, impôts, etc.

3. Activer la double authentification partout où c'est possible. Sur votre boîte mail principale en priorité. C'est elle qui sert à réinitialiser tous vos autres comptes.

4. Se méfier des messages qui citent vos données personnelles. Un vrai service public n'envoie jamais de SMS ou d'e-mail qui vous demande de cliquer pour "vérifier votre dossier" ou "éviter la suspension de votre titre".

5. Exercer vos droits si vous le souhaitez. Vous pouvez adresser à France Titres une demande d'accès à vos données personnelles (article 15 du RGPD) et vous faire préciser si votre compte figure bien dans le périmètre de l'incident. Vous pouvez aussi saisir la CNIL via le formulaire de plainte en ligne si vous constatez une utilisation frauduleuse de vos données dans les semaines qui viennent.

À retenir : - Un mot de passe long et unique par service reste la première barrière. - La double authentification sur l'e-mail principal protège en cascade tous les autres comptes. - Un message officiel qui demande d'agir vite ou de cliquer doit déclencher une vérification directe sur le site sans utiliser le lien reçu.

Ce que cet incident révèle

Une fuite à cette échelle sur un service d'identité n'est pas un accident ordinaire. Elle montre que le niveau d'exigence technique sur les plateformes qui manipulent des données d'identité reste insuffisant y compris côté État. Elle rappelle aussi qu'aucune infrastructure n'est infaillible et que la vraie question n'est pas "est-ce que mes données vont fuiter" mais "quand" et "comment je m'organise pour limiter la casse".

Côté citoyen, la réponse tient en une phrase : on ne peut pas empêcher une fuite chez un tiers mais on peut considérablement réduire ce qu'un attaquant pourra en faire en cloisonnant ses mots de passe, en activant la double authentification et en restant méfiant face aux messages personnalisés.

Questions fréquentes

Mon compte est-il concerné par cette fuite ?

France Titres doit prévenir directement les personnes dont les données figurent dans le lot exposé, conformément à l'article 34 du RGPD. En attendant, vous pouvez vérifier votre adresse e-mail sur haveibeenpwned.com, qui intègre souvent ces fuites en quelques jours. Une absence de notification officielle ne prouve pas une absence d'exposition : restez vigilant face aux messages personnalisés dans les semaines qui viennent.

Dois-je refaire ma carte d'identité ou mon passeport ?

Non. Les titres eux-mêmes (numéro, puce, support physique) ne sont pas compromis par cette fuite. Ce qui a fuité, ce sont des données de compte, pas des pièces justificatives. Un changement de titre ne vous protégerait de rien.

France Titres va-t-il vraiment me contacter ?

Si votre compte est concerné et que le risque est jugé élevé, oui, le RGPD l'impose à l'administration. Ce message viendra d'une adresse officielle en @interieur.gouv.fr ou @ants.gouv.fr. Il ne vous demandera jamais de cliquer pour vous authentifier ni de renseigner un mot de passe dans un formulaire lié à l'e-mail.

Puis-je obtenir une indemnisation ?

Le RGPD prévoit un droit à réparation (article 82) si vous prouvez un préjudice matériel ou moral lié à la violation. En pratique, les indemnisations individuelles restent rares et s'obtiennent au cas par cas, généralement par voie judiciaire. Fairmi ne peut pas vous dire à l'avance si votre situation ouvrira droit à réparation, seul un juge le pourra.

Comment signaler une tentative de phishing liée à cette fuite ?

Transférez le message suspect à signal-spam.fr et à l'adresse phishing-report@interieur.gouv.fr si vous en avez une. Vous pouvez aussi déposer plainte sur cybermalveillance.gouv.fr si vous avez subi un préjudice réel (usurpation d'identité, ouverture de compte à votre nom).

Reprendre la main sur vos données

Cette fuite illustre un point que Fairmi porte depuis le début : vous avez des droits sur vos données personnelles et vous pouvez les exercer concrètement, même quand l'organisme en face est une administration. Explorez la liste des services et marques qui détiennent probablement des informations sur vous, et commencez à reprendre la main, service par service.

Sources

Dans la même série

Initié

Cyberattaque ÉduConnect : que faire quand les données de vos enfants sont piratées ?

Prénom, nom, établissement et classe d'élèves exposés après une attaque contre ÉduConnect. Ce que le RGPD impose à l'État et ce que vous pouvez exiger en tant que parent.

5 min
Initié

App européenne de vérification d'âge : ce qui se prépare et pourquoi ça vous concerne

La Commission européenne annonce que son application de vérification d'âge est prête. La France en pilote sur le sujet. Promesse d'anonymat, fonctionnement concret et vos droits.

5 min
Débutant

Fuite de données chez Basic-Fit : un million de membres exposés, voici vos droits

Basic-Fit a notifié la CNIL après une fuite touchant un million de clients. Ce que la loi impose à l'entreprise, ce que vous pouvez exiger.

5 min