Aller au contenu principal
Retour aux guides
Guides

Vol de données personnelles : comment réagir étape par étape

Que faire en cas de fuite de données, mot de passe compromis ou numéro de carte volé. Démarches complètes auprès de la banque, CNIL et police.

Partager

Vous venez d'apprendre que vos données personnelles ont été compromises : un email vous informe d'une fuite de données sur un site que vous utilisez, votre mot de passe apparaît dans une base de données piratée, votre numéro de carte bancaire a été utilisé frauduleusement ou vous constatez des activités suspectes sur vos comptes. Ne paniquez pas, mais agissez vite. Chaque minute compte pour limiter les dégâts.

Ce guide vous accompagne pas à pas dans toutes les démarches à suivre en France, selon le type de données compromises. Il couvre les actions immédiates, les procédures légales et les mesures de protection à long terme.

Comment savoir si vos données ont été volées

Les signes d'alerte

Plusieurs indices peuvent révéler que vos données ont été compromises :

  • Notification officielle : un service vous informe par email d'une fuite de données (obligatoire en vertu du RGPD)
  • Activité inhabituelle sur vos comptes : connexions inconnues, modifications non autorisées
  • Transactions bancaires que vous n'avez pas effectuées
  • Emails de réinitialisation de mot de passe que vous n'avez pas demandés
  • Appels ou emails de phishing très personnalisés utilisant vos informations réelles
  • Réception de factures ou courriers pour des services que vous n'avez pas souscrits
  • Refus de crédit alors que votre situation financière est saine

Vérifier si vos données ont fuité

Avant même de constater un problème, vous pouvez vérifier proactivement :

| Outil | Ce qu'il vérifie | Lien | |---|---|---| | Have I Been Pwned | Votre email dans les fuites connues | haveibeenpwned.com | | Firefox Monitor | Même base que HIBP, interface Mozilla | monitor.firefox.com | | Google Password Checkup | Mots de passe sauvegardés dans Chrome | passwords.google.com | | Bitwarden / 1Password | Vérification des mots de passe compromis | Dans l'application | | CNIL - Fuites de données | Notifications officielles en France | cnil.fr |

Action immédiate : Rendez-vous sur haveibeenpwned.com et saisissez votre adresse email. Le site vous indiquera dans quelles fuites de données votre email apparaît. Inscrivez-vous aux alertes pour être prévenu automatiquement lors de futures fuites.

Scénario 1 : Votre mot de passe a été compromis

Actions immédiates (dans les 30 minutes)

Étape 1 : Changez le mot de passe du compte concerné

  • Connectez-vous au service en question
  • Modifiez immédiatement le mot de passe
  • Utilisez un mot de passe unique de 12 caractères minimum, généré par un gestionnaire de mots de passe

Étape 2 : Changez le mot de passe partout où vous l'avez réutilisé

  • Si vous utilisiez le même mot de passe sur d'autres sites (email, réseaux sociaux, banque), changez-les tous immédiatement
  • C'est la raison pour laquelle les mots de passe doivent être uniques : un seul compromis ne devrait affecter qu'un seul compte

Étape 3 : Activez la double authentification (2FA)

  • Activez la 2FA sur le compte compromis et sur tous vos comptes importants
  • Privilégiez une application d'authentification (Google Authenticator, Authy) plutôt que le SMS

Étape 4 : Vérifiez l'activité récente du compte

  • Consultez l'historique des connexions et des actions
  • Déconnectez toutes les sessions actives
  • Vérifiez que l'adresse email de récupération n'a pas été modifiée
  • Vérifiez les règles de transfert d'email (les pirates ajoutent parfois des règles qui transfèrent tous vos emails vers leur adresse)

Actions dans les 24 heures

  • Vérifiez tous vos comptes liés au même email
  • Lancez une analyse antivirus sur vos appareils
  • Changez les questions de sécurité si le service en utilise

Scénario 2 : Votre numéro de carte bancaire a été volé

Actions immédiates (dans les minutes qui suivent)

Étape 1 : Faites opposition sur votre carte

Appelez immédiatement votre banque ou utilisez votre application bancaire :

| Banque | Numéro d'opposition | Disponibilité | |---|---|---| | Numéro interbancaire | 0 892 705 705 | 24h/24, 7j/7 | | Visa | 0 800 90 1179 | 24h/24, 7j/7 | | Mastercard | 0 800 90 1387 | 24h/24, 7j/7 | | Votre banque | Numéro au dos de la carte ou dans l'application | Variable |

Conseil : La plupart des applications bancaires permettent de bloquer temporairement votre carte en un clic, le temps de vérifier si les transactions sont frauduleuses. Utilisez cette fonctionnalité avant même d'appeler.

Étape 2 : Identifiez les transactions frauduleuses

  • Consultez votre relevé bancaire en ligne ou dans l'application
  • Notez chaque transaction que vous n'avez pas effectuée : date, montant, commerçant
  • Conservez des captures d'écran de chaque transaction frauduleuse

Étape 3 : Contestez les transactions auprès de votre banque

  • Contactez votre banque (par téléphone ou en agence)
  • Demandez une procédure de chargeback (remboursement) pour chaque transaction frauduleuse
  • Remplissez le formulaire de contestation fourni par votre banque
  • Délai légal : vous avez 13 mois pour contester une transaction non autorisée (article L.133-24 du Code monétaire et financier)

Actions dans les 48 heures

Étape 4 : Portez plainte

La plainte est souvent nécessaire pour obtenir le remboursement et constituer un dossier :

  • En ligne : pre-plainte-en-ligne.gouv.fr (pré-plainte suivie d'un rendez-vous)
  • Sur place : commissariat de police ou brigade de gendarmerie
  • Par courrier : procureur de la République du tribunal judiciaire de votre domicile

Munissez-vous de :

  • Votre pièce d'identité
  • Vos relevés bancaires montrant les transactions frauduleuses
  • Les captures d'écran des opérations contestées
  • Le récépissé d'opposition de votre carte

Étape 5 : Signalez la fraude sur Perceval

La plateforme Perceval du ministère de l'Intérieur est spécialisée dans les fraudes à la carte bancaire :

  1. Rendez-vous sur service-public.fr/particuliers/vosdroits/R46526
  2. Connectez-vous via FranceConnect
  3. Remplissez le formulaire de signalement
  4. Vous recevrez un récépissé qui facilite le remboursement par votre banque

Vos droits en matière de remboursement

La loi française est claire sur le sujet :

  • Transactions non autorisées sans négligence grave de votre part : remboursement intégral par la banque, sans franchise, dans un délai d'un jour ouvré
  • Franchise maximale en cas de perte ou vol de la carte avant opposition : 50 euros
  • Après opposition : toute transaction est intégralement à la charge de la banque
  • Si votre banque refuse le remboursement, saisissez le médiateur bancaire (coordonnées sur le site de votre banque)

Important : Votre banque ne peut pas refuser le remboursement au seul motif que la transaction a été validée par 3D Secure ou par un code SMS. Si vous n'êtes pas à l'origine de la transaction, vous devez être remboursé.

Scénario 3 : Fuite de données massive (email, nom, adresse, téléphone)

Comprendre l'ampleur de la fuite

Lorsqu'un service subit une fuite de données, les informations compromises varient. Identifiez ce qui a été exposé :

| Donnée fuitée | Niveau de risque | Actions prioritaires | |---|---|---| | Adresse email seule | Moyen | Vigilance accrue contre le phishing | | Email + mot de passe | Élevé | Changement immédiat de tous les mots de passe identiques | | Nom + adresse + téléphone | Élevé | Surveillance du courrier, vigilance appels frauduleux | | Numéro de Sécurité sociale | Très élevé | Surveillance des ouvertures de comptes, alerte CNIL | | Données bancaires | Critique | Opposition carte, surveillance du compte, plainte | | Pièce d'identité | Critique | Signalement, surveillance d'usurpation |

Actions immédiates

1. Changez vos mots de passe

  • Commencez par votre email principal (c'est la clé de tous vos autres comptes)
  • Puis changez les mots de passe de tous les services où vous réutilisiez le même mot de passe
  • Activez la 2FA partout où c'est possible

2. Soyez en alerte maximale contre le phishing

Après une fuite de données, les tentatives de phishing ciblées explosent. Les pirates utilisent vos informations personnelles réelles pour rendre leurs messages plus crédibles :

  • Emails mentionnant votre nom complet et votre adresse
  • SMS utilisant votre numéro de téléphone avec des prétextes personnalisés
  • Appels téléphoniques (vishing) de faux conseillers bancaires connaissant vos coordonnées

3. Exercez vos droits issus du RGPD

En tant que résident européen, vous avez des droits :

  • Droit d'information : l'entreprise doit vous notifier la fuite dans les 72 heures si elle présente un risque élevé
  • Droit d'accès : demandez quelles données exactes ont été compromises
  • Droit à l'effacement : demandez la suppression de votre compte et de vos données si vous n'utilisez plus le service

Signalement à la CNIL

Si une entreprise ne vous a pas informé d'une fuite ou n'a pas pris les mesures adéquates :

  1. Rendez-vous sur cnil.fr/fr/plaintes
  2. Déposez une plainte en ligne
  3. Fournissez les preuves de la fuite et du manquement de l'entreprise
  4. La CNIL peut enquêter et sanctionner l'entreprise responsable (jusqu'à 4 % du chiffre d'affaires mondial en vertu du RGPD)

Scénario 4 : Usurpation d'identité

Signes d'usurpation d'identité

L'usurpation d'identité est la conséquence la plus grave d'un vol de données personnelles :

  • Vous recevez des courriers de recouvrement pour des dettes que vous n'avez pas contractées
  • Des comptes bancaires ou des crédits ont été ouverts à votre nom
  • Vous êtes inscrit au fichier des incidents de paiement (FICP) de la Banque de France sans raison
  • Quelqu'un utilise vos informations pour percevoir des prestations sociales
  • Un faux profil sur les réseaux sociaux utilise votre nom et vos photos

Démarches en cas d'usurpation d'identité

Étape 1 : Portez plainte immédiatement

  • Rendez-vous au commissariat ou à la gendarmerie avec votre pièce d'identité
  • Expliquez la situation et fournissez toutes les preuves (courriers de recouvrement, comptes frauduleux, etc.)
  • Demandez une copie du récépissé de plainte : vous en aurez besoin pour toutes les démarches suivantes

Étape 2 : Alertez les organismes concernés

  • Banque de France : vérifiez votre inscription au FICP et au FCC via banque-france.fr
  • Impôts : signalez l'usurpation à votre centre des impôts
  • Sécurité sociale : alertez votre CPAM
  • Organismes de crédit : contactez chaque organisme où un crédit a été contracté en votre nom

Étape 3 : Constituez un dossier de preuve

  • Rassemblez tous les documents : courriers frauduleux, relevés, plainte, pièce d'identité
  • Envoyez un courrier recommandé avec accusé de réception à chaque organisme concerné, en joignant le récépissé de plainte

Étape 4 : Demandez une attestation de fraude

  • France Victimes (116 006, gratuit) peut vous accompagner dans vos démarches
  • L'association peut vous fournir une aide juridique et psychologique

Délai de régularisation : La résolution d'une usurpation d'identité prend en moyenne 6 mois à 2 ans. Conservez méthodiquement tous les documents et tous les échanges avec les organismes. Tenez un journal chronologique de toutes vos démarches.

Scénario 5 : Numéro de téléphone compromis (SIM swapping)

Qu'est-ce que le SIM swapping ?

Le SIM swapping est une technique par laquelle un pirate convainc votre opérateur téléphonique de transférer votre numéro sur une nouvelle carte SIM en sa possession. Il reçoit alors tous vos appels et SMS, y compris les codes de vérification 2FA.

Signes d'un SIM swap

  • Perte soudaine du réseau mobile sans raison apparente
  • Notification de « nouvelle carte SIM activée » de votre opérateur
  • Impossibilité de passer des appels ou d'envoyer des SMS
  • Connexions suspectes à vos comptes en ligne

Actions immédiates

  1. Contactez votre opérateur immédiatement pour signaler le transfert frauduleux et récupérer votre numéro
  2. Changez les mots de passe de tous vos comptes, en commençant par l'email et la banque
  3. Remplacez la 2FA par SMS par une application d'authentification sur tous vos comptes
  4. Portez plainte au commissariat ou à la gendarmerie
  5. Vérifiez vos comptes bancaires pour toute transaction suspecte

Mesures de protection à long terme

Mettre en place une surveillance continue

Après un vol de données, la vigilance doit devenir permanente :

  • Inscrivez-vous aux alertes de Have I Been Pwned pour être prévenu des futures fuites
  • Vérifiez vos relevés bancaires chaque semaine pendant au moins 6 mois
  • Activez les notifications de transaction de votre banque (alerte à chaque paiement)
  • Surveillez votre boîte mail : soyez attentif aux emails de réinitialisation de mot de passe non sollicités

Réduire votre surface d'exposition

  • Supprimez les comptes que vous n'utilisez plus (justdelete.me pour trouver les procédures de suppression)
  • Utilisez des alias email pour les services non essentiels (fonctionnalité proposée par Apple, Firefox Relay, SimpleLogin)
  • Limitez les informations personnelles que vous partagez en ligne
  • Ne stockez pas votre carte bancaire sur les sites marchands : saisissez-la à chaque achat ou utilisez une carte virtuelle

La carte bancaire virtuelle

De nombreuses banques et néobanques proposent des cartes bancaires virtuelles (e-carte bleue) :

  • Numéro unique généré pour chaque achat
  • Montant plafonné par transaction
  • Durée de validité limitée
  • Disponible chez : la plupart des banques traditionnelles, Revolut, N26, Lydia

Recommandation : Utilisez systématiquement une carte bancaire virtuelle pour vos achats en ligne. Même si le numéro est intercepté, il ne sera pas réutilisable.

Tableau récapitulatif des démarches par type de vol

| Type de vol | Actions immédiates | Organismes à contacter | Délai | |---|---|---|---| | Mot de passe | Changer tous les mots de passe identiques, activer 2FA | Le service concerné | Immédiat | | Carte bancaire | Opposition, contestation | Banque, Perceval, police | 24-48h | | Données personnelles (fuite) | Changer mots de passe, vigilance phishing | CNIL, service concerné | 24-72h | | Usurpation d'identité | Plainte, alerte organismes | Police, Banque de France, CPAM, impôts | Immédiat | | Numéro de téléphone (SIM swap) | Contacter opérateur, changer mots de passe | Opérateur, police, banque | Immédiat |

Des mots de passe uniques limitent considérablement l'impact d'une fuite : consultez notre comparatif des meilleurs gestionnaires de mots de passe.

Conclusion

Le vol de données personnelles est malheureusement devenu un risque courant de la vie numérique. La clé est de réagir vite et méthodiquement. Les premières heures sont déterminantes : changer les mots de passe compromis, faire opposition sur une carte bancaire volée et sécuriser vos comptes limite considérablement les dégâts.

À plus long terme, adoptez une hygiène numérique rigoureuse : mots de passe uniques via un gestionnaire, double authentification par application, carte bancaire virtuelle pour les achats en ligne et vérification régulière de vos données dans les bases de fuites. Ces réflexes ne vous protègent pas de toutes les fuites, mais ils en limitent considérablement l'impact.

Si vous êtes victime, n'hésitez pas à vous faire accompagner par France Victimes (116 006) et Cybermalveillance.gouv.fr qui proposent une assistance gratuite et personnalisée.

Articles connexes

Renforcez votre protection contre le vol de données :

Articles similaires

Usurpation d'identité en ligne : comment réagir et se protéger

Victime d'usurpation d'identité ? Découvrez les démarches légales en France, les recours possibles et les mesures de protection essentielles.

Lire

Arnaques au paiement sans contact et NFC : protéger sa carte bancaire

Vol de données NFC, arnaques au TPE caché, fraudes au sans contact : découvrez les vraies menaces liées au paiement sans contact et comment vous protéger.

Lire

Sécuriser ses achats en ligne : le guide complet pour ne pas se faire arnaquer

Guide complet pour sécuriser vos achats en ligne : vérifier un vendeur, payer en sécurité, gérer les retours et éviter les pièges.

Lire