Blog
Enquete

Fuites de donnees en France : le bilan noir de 2024

Christophe Van Engelen

Christophe Van Engelen

10 juin 2025

·6 min de lecture

France Travail, Free, Viamedis : en un an, les données personnelles de 9 Français sur 10 ont été compromises. La CNIL sanctionne, mais les victimes ne touchent rien. Le RGPD leur donne pourtant un droit à réparation.

Chronologie d'une année noire pour les données personnelles

L'année 2024 restera dans l'histoire numérique française comme celle de la grande hémorragie de données. La séquence commence en février avec la fuite Viamedis-Almerys : les données de 33 millions d'assurés sociaux (numéro de sécurité sociale, état civil, organisme d'assurance maladie) sont exposées suite à une attaque par phishing sur ces deux opérateurs de tiers payant.

Un mois plus tard, en mars 2024, c'est France Travail (ex-Pôle Emploi) qui annonce la compromission des données de 43 millions de personnes : noms, prénoms, dates de naissance, numéros de sécurité sociale, adresses email, adresses postales et numéros de téléphone. La faille de sécurité existait depuis 20 ans selon les premières analyses.

En octobre 2024, l'opérateur télécom Free confirme le vol de données de 19,2 millions de clients, incluant les IBAN bancaires de 5 millions d'entre eux. Le pirate met les données en vente sur le dark web pour 70 000 dollars.

S'ajoutent à cette liste les attaques contre l'hôpital de Cannes, la Fédération française de football, SFR, Boulanger, et plusieurs collectivités territoriales. Au total, les données personnelles d'environ 60 millions de Français ont été compromises au moins une fois en 2024.

33 millions de dossiers médicaux : le risque invisible

La fuite Viamedis-Almerys est particulièrement grave car elle concerne des données de santé, les plus sensibles au regard du RGPD. Avec un numéro de sécurité sociale, un état civil et la connaissance de la mutuelle d'une personne, un pirate peut reconstituer un profil médical, commander des médicaments, créer de fausses ordonnances ou usurper une identité auprès d'organismes de santé.

Les conséquences concrètes pour les victimes sont déjà visibles. Des milliers de Français signalent des tentatives de phishing ultra-ciblées, utilisant leurs vraies coordonnées et leur numéro de sécurité sociale pour crédibiliser les messages frauduleux. Des cas d'usurpation d'identité auprès de la CAF, de l'Assurance Maladie et de banques en ligne ont été rapportés dès le printemps 2024.

Le coût moyen d'une usurpation d'identité pour la victime est estimé entre 1 200 et 6 000 euros par l'association France Victimes, sans compter les mois, voire les années, de démarches administratives nécessaires pour rétablir sa situation.

La réponse de la CNIL est-elle suffisante ?

La Commission nationale de l'informatique et des libertés (CNIL) a réagi aux fuites de 2024 en ouvrant des enquêtes et en prononçant des sanctions. Au total, 55 millions d'euros d'amendes ont été infligés en 2024 pour des manquements à la sécurité des données, tous dossiers confondus.

Mais ces amendes, payées au Trésor public, ne bénéficient pas aux victimes. Un citoyen dont les données ont été volées ne reçoit pas un centime de la sanction infligée à l'entreprise négligente. Les sanctions de la CNIL sont un outil de régulation, pas un outil de réparation.

De plus, les montants restent faibles au regard du chiffre d'affaires des entreprises concernées. Le RGPD autorise des amendes allant jusqu'à 4 % du chiffre d'affaires mondial. France Travail, établissement public, n'est même pas soumis à cette sanction pécuniaire. Le signal envoyé aux responsables de traitement est clair : la négligence en matière de cybersécurité reste peu coûteuse.

L'article 82 du RGPD : le droit à réparation oublié

Ce que la plupart des citoyens ignorent, c'est que le RGPD leur donne un droit direct à réparation. L'article 82, paragraphe 1, dispose que « toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».

La Cour de justice de l'UE a précisé dans son arrêt du 4 mai 2023 (affaire C-300/21) que le « dommage moral » inclut l'inquiétude, le stress et la perte de contrôle sur ses données personnelles. Pas besoin de prouver un préjudice financier : le simple fait d'avoir été exposé à un risque d'usurpation d'identité constitue un dommage indemnisable.

En Autriche, un tribunal a accordé 500 euros à un plaignant pour la simple fuite de son adresse email par la poste autrichienne. En Allemagne, des jugements ont accordé entre 100 et 5 000 euros par victime selon la gravité de la fuite. En France, les tribunaux n'ont pas encore été saisis massivement sur ce fondement, faute d'actions collectives structurées.

L'action de groupe : la seule réponse à l'échelle du problème

Agir individuellement est possible mais décourageant. Chaque victime devrait identifier le responsable de la fuite, constituer un dossier, saisir un tribunal, avancer les frais de justice, et attendre des mois voire des années pour obtenir une décision. Pour un préjudice individuel souvent chiffré à quelques centaines d'euros, le jeu n'en vaut pas la chandelle.

C'est précisément là que l'action de groupe prend tout son sens. En mutualisant les frais et les démarches, des milliers de victimes peuvent agir ensemble pour obtenir une décision de justice qui s'applique à tous. Le poids du nombre crée également une pression médiatique et politique que l'entreprise ne peut ignorer.

En France, la loi n° 2016-1547 du 18 novembre 2016 a introduit l'action de groupe en matière de protection des données personnelles. Cette procédure, prévue à l'article 43 ter de la loi Informatique et Libertés, permet à une association ou un organisme mandaté d'agir au nom de l'ensemble des victimes.

Agir maintenant

Vos données ont probablement été compromises en 2024. Si vous étiez inscrit à France Travail, si vous aviez une mutuelle utilisant Viamedis ou Almerys, si vous étiez client Free, SFR ou Boulanger, vos informations personnelles circulent peut-être déjà sur le dark web.

L'action #DataBreach de Wejustice vise à obtenir une réparation collective pour toutes les victimes des fuites de données de 2024, sur le fondement de l'article 82 du RGPD. Signez l'action #DataBreach sur Wejustice pour rejoindre les milliers de citoyens qui refusent que la négligence des grandes entreprises reste impunie et que les victimes restent sans indemnisation.

Partager cet article :

Agissez maintenant

Rejoignez les actions collectives qui font avancer la justice.

Decouvrir les actions