Fuites Infos est un service de veille et d’alerte dédié aux fuites de données touchant la France. Le projet a été créé en janvier 2026 par Christophe Boutry, consultant, YouTuber et militant pour les droits numériques. À travers ses prises de parole et ses publications, il alerte régulièrement sur les atteintes aux données personnelles, sur la multiplication des compromissions visant les entreprises, les administrations et les services en ligne, mais aussi sur le manque de transparence et l’inaction qui entourent encore trop souvent ces incidents.

Fuites Infos est né d’un constat simple : lorsqu’une fuite de données survient, les personnes exposées sont souvent informées trop tard, de manière incomplète, ou parfois pas du tout. Dans le même temps, les données circulent déjà sur des forums, des canaux fermés, des sites de publication ou des espaces fréquentés par des acteurs cybercriminels. Le projet vise donc à surveiller ces espaces, à identifier les incidents qui concernent la France, puis à les rendre lisibles et compréhensibles pour le public.

Initialement, cette veille était publiée sur le site personnel de Christophe Boutry (christopheboutry.com). Fuites Infos dispose désormais d’un espace dédié, avec ses propres publications et ses propres canaux de diffusion. Les alertes peuvent aussi être relayées sur les réseaux de Christophe Boutry ainsi que sur les plateformes où Fuites Infos est présent. Le service existe également sous forme d’application mobile.

L’ambition de Fuites Infos est double : permettre au public de savoir plus vite lorsqu’un organisme français est visé, et offrir un cadre de lecture sérieux pour comprendre ce qui a été revendiqué, ce qui a été vérifié, et ce qui reste encore incertain.

Une fuite de données correspond à une divulgation, une exposition, un vol ou une diffusion non autorisée d’informations détenues par une organisation. Ces informations peuvent concerner des clients, des salariés, des patients, des usagers, des partenaires ou toute autre personne dont les données sont stockées par un service, une entreprise ou une administration.

Dans la pratique, une fuite peut prendre plusieurs formes. Il peut s’agir de la publication d’une base de données complète, de la mise en vente d’un fichier volé, de la diffusion d’un échantillon destiné à prouver qu’un piratage a bien eu lieu, ou encore d’une exfiltration de documents internes à la suite d’une attaque informatique. Certaines fuites résultent d’un piratage classique. D’autres sont liées à une mauvaise configuration technique, à un accès laissé ouvert, à une compromission de compte, ou à une attaque par rançongiciel.

On rencontre souvent plusieurs termes dans cet univers.
Le mot leak désigne une fuite de données au sens large. Un dump renvoie plutôt à une extraction brute de données, souvent récupérée depuis une base compromise.
L’abréviation BDD signifie simplement base de données.
Le terme compromission est utilisé lorsqu’un système, un compte ou un ensemble de données a été exposé, consulté, copié ou extrait sans autorisation.
Quant à l’expression violation de données, elle est plus large et plus institutionnelle ; elle est notamment utilisée dans le langage du RGPD.
Enfin, lorsqu’il est question de ransomware ou de rançongiciel, on parle d’une attaque dans laquelle un groupe criminel chiffre les systèmes d’une organisation tout en menaçant souvent de publier les données volées pour accentuer la pression.

Ces informations ne circulent pas au hasard. Elles sont généralement diffusées dans un écosystème bien précis, composé de forums spécialisés, de chaînes ou groupes fermés, de sites de publication liés à des groupes criminels, de places de marché clandestines ou de blogs de revendication. Une fuite peut d’abord être annoncée, puis illustrée par un échantillon, ensuite proposée à la vente, et enfin diffusée plus largement. C’est cet environnement que Fuites Infos surveille au quotidien.

Sur Fuites Infos, une fuite n’est pas présentée de la même manière selon le niveau de certitude disponible au moment de sa publication. C’est la raison pour laquelle les incidents peuvent être qualifiés de revendiqués ou de confirmés.

Une fuite est dite revendiquée lorsqu’un acteur cybercriminel affirme détenir des données, les publie partiellement, les met en vente ou annonce une compromission sur l’un de ses canaux habituels. Cela ne signifie pas que l’information est prise pour argent comptant. Avant toute publication, un travail d’examen est mené afin de déterminer s’il s’agit bien d’un incident nouveau, et non d’une ancienne fuite republiée. Les éléments diffusés sont ensuite appréciés à partir de plusieurs indices : la cohérence de l’échantillon, la nature des données montrées, la crédibilité de l’acteur, les recoupements possibles avec des sources externes, ou encore la vraisemblance d’ensemble du scénario présenté. Lorsqu’une fuite paraît sérieuse et inédite mais que la confirmation définitive n’existe pas encore, elle est publiée comme revendiquée.

Une fuite est dite confirmée lorsqu’il existe, à l’inverse, des éléments suffisamment solides pour écarter le doute sérieux. Cela peut venir d’une reconnaissance par l’entreprise ou le service visé, d’une confirmation par des chercheurs ou experts crédibles, ou encore de fichiers publiés dont l’authenticité apparaît établie à la lecture. Dans certains cas, la masse, la structure ou la qualité des données exposées suffisent à démontrer qu’il ne s’agit pas d’une simple affirmation opportuniste, mais bien d’une compromission réelle.

En résumé, une fuite revendiquée est une fuite jugée crédible, nouvelle et suffisamment sérieuse pour être signalée, mais qui reste encore en phase de qualification. Une fuite confirmée est une fuite dont la réalité est considérée comme établie.

Ces notions sont liées, mais elles ne désignent pas la même chose. Les confondre peut donner une vision trompeuse de l’ampleur réelle d’une fuite.

Une personne concernée est une personne physique dont les données apparaissent dans une fuite. Il peut s’agir d’un client, d’un salarié, d’un patient, d’un usager, d’un adhérent ou de toute autre personne identifiable directement ou indirectement à partir des informations exposées. Lorsqu’une fuite contient les informations relatives à 10 000 individus distincts, on parlera alors, en principe, de 10 000 personnes concernées.

Un enregistrement correspond à une entrée dans un fichier, une table ou une base de données. Dans de nombreux cas, un enregistrement équivaut à une ligne. Cette ligne peut contenir plusieurs informations rattachées à une même personne, par exemple un nom, un prénom, une adresse e-mail, un numéro de téléphone et une date de naissance. Mais cette équivalence n’est pas toujours parfaite. Selon la structure de la base, une même personne peut être présente dans plusieurs enregistrements distincts, par exemple parce qu’elle a plusieurs commandes, plusieurs dossiers, plusieurs rendez-vous, plusieurs contrats ou plusieurs historiques d’action.

À côté de cela, certaines fuites mentionnent un volume de données. Cette expression est plus floue, car elle ne renvoie pas nécessairement à un nombre de personnes ni même à un nombre d’enregistrements. Elle peut désigner des réalités très différentes selon la manière dont la fuite a été présentée par l’acteur malveillant, par la victime ou par les personnes qui l’analysent.

Le volume de données peut parfois correspondre à un nombre d’enregistrements, lorsqu’on sait que la base contient tant de lignes. Mais il peut aussi désigner un nombre de données unitaires, c’est-à-dire des éléments pris isolément, comme des adresses e-mail, des numéros de téléphone, des identifiants, des mots de passe hachés, des documents ou des fichiers. Dans d’autres cas encore, il peut s’agir simplement d’un poids total de données, par exemple plusieurs gigaoctets, sans que cela permette de savoir combien de personnes sont réellement touchées.

Autrement dit, une fuite peut être décrite de plusieurs façons. Elle peut concerner un certain nombre de personnes distinctes. Elle peut contenir un certain nombre de lignes ou d’entrées dans une base. Elle peut aussi représenter un certain nombre de champs, de fichiers ou d’objets de données. Ces chiffres ne sont pas interchangeables.

C’est la raison pour laquelle il faut rester prudent dans la lecture des volumes affichés. Une base de 5 millions d’enregistrements ne signifie pas forcément 5 millions de personnes. De la même manière, une fuite annoncée comme contenant 20 millions de données peut parfois renvoyer à 20 millions de valeurs ou d’éléments techniques, et non à 20 millions d’individus. Une même personne peut en outre apparaître plusieurs fois dans une même base, puis à nouveau dans d’autres fuites distinctes.

Lorsque cela est possible, Fuites Infos cherche donc à distinguer la nature du volume mentionné : nombre de personnes concernées, nombre d’enregistrements, nombre de données, nombre de fichiers ou simple taille globale de l’extraction. Et lorsque cette distinction ne peut pas être établie avec suffisamment de sérieux, il est préférable de ne pas surinterpréter le chiffre disponible.

Certaines fuites ne comportent pas d’estimation du nombre de personnes concernées parce que cette donnée n’est pas toujours disponible, ni même toujours calculable sérieusement.

Dans certains cas, seule une partie des données a été publiée, ce qui empêche toute évaluation fiable du volume réel. Dans d’autres, les auteurs de la fuite annoncent un chiffre sans fournir les éléments permettant de le vérifier. Il arrive aussi que les fichiers diffusés ne permettent pas de distinguer clairement le nombre de personnes uniques, notamment lorsque les données sont fragmentées, très techniques, incomplètes ou redondantes. Parfois encore, l’organisation visée n’a communiqué aucun volume, et rien dans les éléments accessibles ne permet d’en déduire un de manière sérieuse.

Il faut également préciser que toutes les fuites ne prennent pas la forme d’une base de clients ou d’une liste nominative. Certaines concernent des documents internes, des archives techniques, des configurations, des exports partiels, du code source ou des répertoires métier. Dans ce type de situation, afficher un nombre de personnes concernées serait parfois artificiel ou trompeur.

Lorsqu’aucune estimation solide ne peut être avancée, Fuites Infos préfère ne pas afficher de chiffre plutôt que de publier un volume fragile ou spéculatif.

Fuites Infos repose sur un travail de veille, de tri et de vérification avant publication. L’objectif n’est pas de republier mécaniquement tout ce qui circule, mais d’identifier les incidents qui paraissent nouveaux, crédibles et suffisamment étayés pour être signalés au public.

Lorsqu’une fuite est repérée, plusieurs éléments sont examinés à un niveau raisonnable, sans prétendre remplacer une enquête judiciaire, une expertise technique complète ou l’analyse interne de l’organisation visée. Il s’agit notamment d’apprécier la crédibilité du canal de publication, la cohérence de l’annonce, la nature des données évoquées, l’existence éventuelle d’échantillons, la présence de signes permettant d’exclure une republication ancienne, ainsi que les recoupements possibles avec des informations publiques ou d’autres observations disponibles.

Ce travail permet ensuite de déterminer si l’incident mérite d’être publié, sous quelle qualification, et avec quel degré de prudence. Lorsqu’un doute sérieux subsiste, Fuites Infos peut choisir de ne pas publier, d’attendre, ou de présenter l’incident avec une qualification adaptée. La priorité reste la même : informer vite, mais sans sacrifier la rigueur.

Il existe plusieurs sites et projets qui recensent des fuites de données. Chacun a sa propre méthode, son propre rythme, son propre niveau d’exigence et ses propres choix éditoriaux. Il est donc normal qu’un incident apparaisse sur une plateforme et pas immédiatement sur une autre.

Fuites Infos ne cherche pas à publier le plus possible, mais à publier de manière utile. La logique suivie repose sur plusieurs principes : éviter les doublons inutiles, distinguer les incidents réellement nouveaux des republications anciennes, replacer les événements dans une chronologie cohérente, et alerter au plus près de l’incident lorsque les éléments disponibles le permettent.

Autrement dit, l’absence d’une fuite sur Fuites Infos ne signifie pas nécessairement qu’elle est fausse. Cela peut vouloir dire qu’elle est encore en cours d’analyse, qu’elle a été jugée insuffisamment étayée, qu’elle correspond à un incident ancien déjà connu, ou qu’elle n’entre pas dans le périmètre éditorial retenu. La meilleure vérification à faire est d’effectuer une recherche dans la barre dédiée sur la page principale.

Fuites Infos a été pensé autour de trois priorités : la fiabilité, la consolidation de l’information et la réactivité.

L’idée n’est pas de constituer une simple archive brute de publications cybercriminelles, mais de proposer un outil de lecture compréhensible, orienté vers les incidents touchant la France, avec une attention particulière portée à la chronologie réelle des faits, à la qualification des incidents et à la lisibilité des informations pour le public.

Certains sites historiques rendent un service précieux depuis longtemps et sont bien identifiés dans l’écosystème cyber français. C’est notamment le cas de BonjourLaFuite, qui constitue une référence connue dans ce domaine. Fuites Infos n’a pas vocation à nier cette utilité. En revanche, il est apparu qu’une autre approche pouvait être utile et complémentaire, notamment pour mieux distinguer la date de découverte, la date de revendication, la date de publication et l’ancienneté réelle d’une fuite. Sans cela, un incident ancien peut parfois donner l’impression d’être très récent. De la même manière, certains rythmes de mise à jour ou certaines logiques de présentation ne répondent pas toujours à un besoin d’alerte rapide et structurée.

C’est en partie de ce constat qu’est né Fuites Infos : proposer un suivi plus réactif, plus resserré sur la France, et plus attentif à l’interprétation correcte des incidents.

Fuites Infos publie principalement les compromissions de données et, dans certains cas, des cyberattaques lorsqu’elles comportent manifestement une exposition, une exfiltration ou une menace de diffusion de données concernant des personnes liées à la France.

Le cœur du projet reste donc la donnée compromise. Une cyberattaque purement technique, sans élément identifiable sur des données exposées ou menacées de publication, n’a pas nécessairement vocation à être référencée. À l’inverse, lorsqu’une attaque s’accompagne d’une revendication crédible portant sur des données de clients, d’usagers, de salariés, de patients ou d’autres personnes concernées, elle peut être intégrée au recensement.

Le but est de documenter ce qui expose ou menace d’exposer vos informations personnelles, et non de couvrir indistinctement toute l’actualité cyber.

Fuites Infos est centré en priorité sur les incidents qui concernent directement la France. Cela inclut les entreprises françaises, les administrations, les collectivités, les associations, les services en ligne opérant en France, mais aussi toute situation dans laquelle des personnes se trouvant en France ou relevant d’un organisme français paraissent concernées.

Dans la grande majorité des cas, le périmètre est donc français. Toutefois, certaines fuites touchent des groupes internationaux ou des multinationales dont une partie des personnes exposées se trouve en France. Dans ce type de situation, l’incident peut également être référencé, dès lors qu’il existe un lien suffisamment direct avec le public français.

Lorsque l’information est disponible, Fuites Infos essaie alors de distinguer, autant que possible, le volume global de la fuite du nombre estimé de personnes concernées en France. Mais cette précision n’est pas toujours accessible, notamment lorsque les données publiques ne permettent pas d’isoler la part française avec sérieux.

Vous êtes considéré comme une personne concernée à partir du moment où il existe des raisons sérieuses de penser que vos données figurent dans la fuite, ou lorsque cela vous a été indiqué par l’organisme touché. Cela peut résulter d’un message direct de l’entreprise ou du service compromis, d’une communication publique, d’un échange avec son support, ou encore d’éléments permettant d’établir que vos informations faisaient bien partie des données exposées.

Si vous pensez être concerné, il faut d’abord conserver toutes les preuves utiles. Cela inclut les e-mails reçus, les notifications dans votre espace client, les courriers, les captures d’écran, les réponses du support, les pages officielles publiées par l’organisme, ainsi que tout élément permettant d’établir la date à laquelle vous avez appris l’incident et la manière dont vous en avez été informé. Ces éléments pourront vous être utiles par la suite, notamment si vous souhaitez saisir la CNIL, exercer vos droits auprès de l’organisme concerné ou demander réparation.

Vous pouvez également chercher à savoir si votre adresse e-mail apparaît dans certaines bases compromises à l’aide d’un outil reconnu comme Have I Been Pwned. Cet outil ne recense pas toutes les fuites et ne permet pas, à lui seul, de déterminer si l’ensemble de vos données a été exposé, mais il peut constituer un premier indice utile.

Si le doute subsiste, la bonne démarche consiste à interroger directement l’entreprise ou le service compromis afin de lui demander si vous faites partie des personnes concernées. C’est souvent la seule manière d’obtenir une réponse individualisée et fiable sur votre situation.

Les mesures de protection à mettre en place après une fuite de données sont détaillées plus loin dans cette FAQ, dans une partie dédiée. Ici, l’objectif est d’abord de vous aider à déterminer si vous êtes concerné, à conserver les bons éléments et à engager les premières démarches utiles.

À ce jour, il n’existe pas de service universel permettant de vérifier, pour tous les types de données et pour toutes les fuites, si une personne apparaît dans une base compromise. L’outil le plus connu et le plus sérieux pour vérifier si une adresse e-mail a déjà été repérée dans certaines fuites est Have I Been Pwned.

Cet outil permet de rechercher une adresse e-mail dans une partie des bases compromises qui ont été intégrées à son service. Il peut donc être utile, mais il a des limites importantes. Il ne recense pas toutes les fuites, il ne couvre pas tous les types de données, et il ne permet pas toujours de savoir exactement quelles informations ont été exposées. Une absence de résultat ne signifie donc pas forcément que vous n’êtes pas concerné.

Il faut être très prudent avec les autres plateformes qui prétendent vérifier si vous apparaissez dans une fuite. Beaucoup sont peu transparentes sur leurs méthodes, sur l’origine des données qu’elles détiennent et sur les mesures de sécurité qu’elles appliquent. Certaines conservent ou exploitent elles-mêmes des masses de données volées, ce qui pose un problème évident de fiabilité, de sécurité et parfois même de légitimité. En utilisant ce type de service, vous prenez aussi le risque d’envoyer votre adresse ou d’autres informations à un acteur dont vous ne savez rien.

Pour cette raison, il vaut mieux éviter les sites peu connus qui promettent de tout vérifier en quelques secondes. Lorsqu’un enjeu important existe, vous pouvez aussi vous tourner vers une entreprise de cybersécurité capable de vous accompagner ou de vérifier certains éléments de manière plus sérieuse.

Si vous pensez être concerné par une fuite de données, vous pouvez contacter le DPO, c’est-à-dire le délégué à la protection des données, lorsqu’un tel interlocuteur a été désigné par l’organisme concerné. Ses coordonnées figurent souvent dans la politique de confidentialité, les mentions d’information relatives aux données personnelles, les conditions générales, ou dans une rubrique dédiée du site internet.

Le DPO n’est pas nécessairement la personne qui a décidé du traitement ou qui a géré l’incident, mais il est précisément chargé d’être un point de contact sur les questions de protection des données. En pratique, c’est souvent l’interlocuteur le plus pertinent pour demander des explications sur une compromission, savoir si vous êtes concerné et obtenir une réponse écrite.

Il faut toutefois être lucide : le DPO, lorsqu’il existe, ne répond pas toujours de manière satisfaisante, et certaines organisations renvoient vers un support générique, répondent de façon partielle, ou tardent à communiquer. Le fait d’écrire reste néanmoins important, car cela permet de dater votre démarche, de conserver une trace et, si nécessaire, de montrer ensuite à la CNIL ou à un juge que vous avez tenté d’obtenir des informations. Cette preuve de vos démarches peut devenir utile si l’organisme reste silencieux ou vous répond de manière incomplète. Cette utilité découle du cadre général du droit d’accès et des obligations de transparence prévues par le RGPD.

Même lorsqu’il n’y a pas de DPO, l’organisme reste soumis à des obligations. Le RGPD impose au responsable du traitement de répondre aux demandes d’exercice des droits de la personne concernée, notamment au titre du droit d’accès prévu par l’article 15, et d’y répondre, en principe, dans un délai d’un mois conformément à l’article 12. Ce délai peut être prolongé de deux mois en cas de complexité ou de pluralité de demandes, mais la personne doit alors en être informée dans le premier mois.

En matière de fuite de données, l’article 34 du RGPD prévoit en outre que, lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, l’organisme doit informer les personnes concernées dans les meilleurs délais. Cette information doit être rédigée en des termes clairs et comprendre au minimum la nature de la violation, les conséquences probables, les coordonnées d’un point de contact — DPO ou autre — ainsi que les mesures prises ou proposées pour remédier à la situation et en atténuer les effets. La CNIL rappelle expressément ce contenu minimal.

Autrement dit, si vous contactez l’organisme après une fuite, vous êtes légitime à demander au moins si vous êtes concerné, quelles catégories de données vous concernant sont en cause, ce que l’organisme sait de l’incident, et quelles mesures ont été prises. En revanche, il faut aussi garder à l’esprit qu’un organisme ne vous donnera pas toujours tous les détails techniques de l’attaque, notamment lorsqu’une investigation est en cours. Ce que vous pouvez exiger prioritairement, c’est une information loyale, compréhensible et utile sur votre situation au regard de vos données. Cette formulation est une déduction du régime combiné des articles 12, 15 et 34 du RGPD.

Dans votre message, vous pouvez demander de façon simple et précise :

• si vous faites partie des personnes concernées par l’incident ;
• quelles catégories de données vous concernant sont touchées ;
• à quelle date l’organisme a découvert l’incident ;
• si une notification a été faite à la CNIL ;
• quels risques ont été identifiés pour vous ;
• et quelles mesures ont été prises pour limiter les conséquences de la fuite.

Il est préférable de faire cette demande par écrit, par e-mail de préférence, afin d’en conserver la preuve. Un message simple, poli et direct suffit.

Exemple de demande par e-mail

Objet : Demande d’informations – suspicion de fuite de données me concernant

Bonjour,

Je vous contacte à la suite des informations publiées au sujet d’un incident de sécurité / d’une fuite de données ayant affecté votre organisme.

Je souhaite savoir si je fais partie des personnes concernées par cet incident.

Dans l’affirmative, je vous remercie de bien vouloir m’indiquer :
• si des données personnelles me concernant ont été compromises ;
• quelles catégories de données sont concernées ;
• à quelle date l’incident a été détecté ;
• quels risques ont été identifiés pour les personnes concernées ;
• quelles mesures ont été prises pour remédier à la situation et en limiter les conséquences ;
• et, le cas échéant, si une notification a été adressée à la CNIL.

Je vous remercie également de me communiquer toute information utile sur les démarches que je dois entreprendre en conséquence.

Je vous prie de bien vouloir répondre à cette demande par écrit.

Cordialement,

[Nom prénom]
[Adresse e-mail utilisée auprès du service]
[Référence client / identifiant, si utile]

Textes utiles à connaître

Le cadre juridique principal repose notamment sur :

• l’article 12 du RGPD, sur la transparence et le délai de réponse aux demandes des personnes ;
• l’article 15 du RGPD, sur le droit d’accès ;
• l’article 33 du RGPD, sur la notification des violations à l’autorité de contrôle ;
• l’article 34 du RGPD, sur l’information des personnes concernées en cas de risque élevé ;

Vous pouvez saisir la CNIL, c’est-à-dire la Commission nationale de l’informatique et des libertés, si vous estimez qu’un organisme n’a pas correctement protégé vos données, ne vous informe pas suffisamment après une fuite, ne répond pas à vos demandes, ou ne respecte pas ses obligations au regard du RGPD et de la loi Informatique et Libertés. La CNIL est l’autorité administrative indépendante chargée, en France, de veiller à la protection des données personnelles. Elle informe, accompagne, contrôle et, lorsque c’est nécessaire, met en demeure ou sanctionne les organismes qui ne respectent pas leurs obligations.

Il faut être clair : saisir la CNIL n’est pas un geste symbolique. C’est une démarche officielle par laquelle vous portez à la connaissance de l’autorité de contrôle des faits que vous estimez contraires au droit des données personnelles. Le RGPD reconnaît expressément à toute personne concernée le droit d’introduire une réclamation auprès d’une autorité de contrôle lorsqu’elle considère qu’un traitement de ses données viole le règlement. Ce droit figure à l’article 77 du RGPD.

Un signalement ou une plainte à la CNIL sert d’abord à matérialiser le problème. Tant que les personnes concernées ne se manifestent pas, un incident peut être minimisé, dilué dans une communication floue, ou traité comme un simple incident technique interne. À partir du moment où la CNIL reçoit des réclamations documentées, elle dispose d’éléments pour apprécier la réalité du préjudice, le niveau d’information donné aux personnes, la qualité de la réponse apportée par l’organisme et, plus largement, le respect de ses obligations. La CNIL indique elle-même que ses contrôles peuvent intervenir à la suite de plaintes reçues, de signalements ou d’une auto-saisine.

Il faut aussi savoir ce que la CNIL peut et ne peut pas faire. Elle peut recevoir votre plainte, l’instruire, demander des explications à l’organisme, procéder à des vérifications, contrôler un acteur, le mettre en demeure de se conformer au droit, et, selon les cas, prononcer des sanctions. Elle peut donc faire pression, exiger une régularisation et, dans certains dossiers, sanctionner publiquement. En revanche, la CNIL n’est pas un tribunal civil : elle ne vous versera pas d’indemnisation. Si vous voulez obtenir réparation d’un préjudice, il faut en principe emprunter une autre voie, distincte, contre l’organisme concerné.

Saisir la CNIL est particulièrement pertinent lorsque l’organisme touché ne vous répond pas, vous répond à côté, tarde excessivement, refuse de dire si vous êtes concerné, ou vous adresse une information manifestement insuffisante. Le RGPD impose pourtant des obligations de transparence et de réponse. L’article 12 prévoit que le responsable du traitement doit fournir à la personne concernée des informations sur les suites données à sa demande, en principe dans un délai d’un mois. L’article 15 consacre le droit d’accès. Et lorsqu’une violation de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, l’article 34 impose une information des personnes concernées “dans les meilleurs délais”.

En pratique, la démarche se fait généralement via le téléservice de plaintes en ligne de la CNIL. La CNIL précise d’ailleurs que les particuliers qui veulent déposer une plainte doivent utiliser ce téléservice, et qu’un compte en ligne permet ensuite de suivre l’évolution du dossier et d’échanger plus facilement avec l’agent en charge. Il ne faut pas utiliser le téléservice réservé aux notifications de violations, qui est destiné aux organismes, pas aux victimes.

Votre dossier doit être aussi solide que possible. Il ne suffit pas d’écrire “mes données ont fuité”. Il faut expliquer qui est l’organisme concerné, ce que vous avez appris, pourquoi vous pensez être touché, ce que vous avez demandé, ce qu’on vous a répondu — ou l’absence de réponse — et joindre tous les éléments utiles : notification reçue, captures d’écran, échanges avec le support ou le DPO, communication publique de l’organisme, preuve d’un phishing lié à la fuite, ou tout autre document pertinent. Plus votre saisine est claire, datée et étayée, plus elle a de poids.

Il faut aussi dire les choses franchement sur les critiques adressées à la CNIL. Elles existent, et elles ne sont pas imaginaires. Beaucoup lui reprochent des délais parfois longs, une capacité d’action perçue comme inégale selon les dossiers, un manque de moyens au regard de l’ampleur des violations de données, et une difficulté structurelle à faire face à la masse des manquements et des incidents. Ces critiques s’inscrivent dans un contexte où la CNIL elle-même met en avant, dans son rapport annuel 2024, la multiplication des violations à grande échelle et l’inquiétude croissante des personnes. Autrement dit, la charge augmente fortement, alors que l’attente du public augmente elle aussi.

Mais ces critiques ne sont pas une raison pour ne rien faire. C’est même l’inverse. Si les personnes concernées renoncent à saisir la CNIL au motif qu’elle serait trop lente ou insuffisamment offensive, elles contribuent elles-mêmes à l’invisibilisation du problème. Une autorité de contrôle ne peut pas agir sur ce qu’on ne lui remonte pas, ou sur ce qui lui est signalé de manière trop faible, trop vague ou trop tardive. Plus les signalements sont nombreux, précis et documentés, plus il devient difficile pour un organisme de prétendre que l’incident est marginal, mal compris ou sans conséquence.

Il faut donc saisir la CNIL pour trois raisons. D’abord, pour faire valoir vos droits lorsque l’organisme ne fait pas son travail. Ensuite, pour laisser une trace officielle de l’incident et de ses conséquences pour les personnes concernées. Enfin, pour faire exister le dossier au niveau du régulateur, surtout lorsque des milliers ou des millions de personnes peuvent être touchées mais que très peu se manifestent individuellement.

En clair, si vous êtes concerné par une fuite de données et que l’organisme reste flou, silencieux, minimisant ou défaillant, saisir la CNIL n’est pas accessoire. C’est l’un des rares leviers institutionnels dont vous disposez. Et plus ce levier est utilisé sérieusement, plus il a de chances de produire des effets.

Si vous pensez avoir subi un préjudice à la suite d’une fuite de données, il faut prendre contact avec un avocat le plus tôt possible, idéalement dès les premières démarches. C’est important pour une raison simple : la question n’est pas seulement de savoir si une fuite a eu lieu, mais de déterminer contre qui agir, sur quel fondement, avec quelles preuves, et avec quelle stratégie. Plus un dossier est cadré tôt, plus il a de chances d’être exploitable.

Le fondement principal, en matière de données personnelles, est l’article 82 du RGPD. Ce texte prévoit que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a droit à réparation auprès du responsable du traitement ou, dans certains cas, du sous-traitant. Cela veut dire qu’une atteinte à vos données peut ouvrir droit à indemnisation, pas seulement en cas de perte d’argent, mais aussi en cas d’atteinte à la vie privée, d’anxiété sérieuse, de perte de contrôle sur vos données ou d’exposition à un risque d’usurpation. La jurisprudence européenne a en outre rappelé qu’une simple violation du RGPD ne suffit pas à elle seule : il faut un dommage, mais ce dommage moral n’a pas à franchir un seuil minimal de gravité artificiel pour être indemnisable.

En pratique, l’action est dirigée d’abord contre l’organisme qui a collecté ou traité vos données, c’est-à-dire, juridiquement, le responsable du traitement. Selon les cas, un sous-traitant peut aussi voir sa responsabilité engagée s’il a manqué à ses propres obligations. C’est précisément l’une des raisons pour lesquelles il faut consulter un avocat tôt : identifier le bon défendeur n’est pas toujours évident, notamment lorsque plusieurs sociétés interviennent, qu’un prestataire technique est en cause, ou qu’un groupe international est impliqué.

Ce qu’il faut pouvoir démontrer est assez clair. Il faut établir qu’une fuite ou une violation de données a bien eu lieu, que vous faites partie des personnes concernées, que vous avez subi un préjudice, et qu’il existe un lien entre ce préjudice et l’incident. En clair, il ne suffit pas d’être inquiet ou mécontent. Il faut bâtir un dossier. Cela passe par la conservation systématique des notifications reçues, des échanges avec l’entreprise, des réponses du DPO, des captures d’écran, des justificatifs de fraude, des frais engagés, des tentatives de phishing reçues après la fuite, et de tout élément permettant de montrer les conséquences réelles de l’incident sur votre situation.

Le préjudice peut prendre plusieurs formes. Il peut être matériel, par exemple en cas de fraude bancaire, de souscription frauduleuse, de dépenses engagées pour sécuriser votre situation ou de perte financière liée à une usurpation. Il peut aussi être moral, par exemple lorsque l’exposition de vos données porte atteinte à votre vie privée, vous place dans une situation d’angoisse durable, ou vous expose à un risque sérieux et objectivement documentable. Si la fuite débouche sur une usurpation d’identité ou sur des faits pénalement répréhensibles, d’autres démarches peuvent s’ajouter, notamment au pénal. L’usurpation d’identité numérique est bien reconnue comme un délit en droit français.

La procédure, ensuite, dépend de la stratégie retenue. Dans certains cas, une mise en demeure ou une demande indemnitaire préalable adressée à l’organisme peut être tentée par l’avocat pour obtenir une réponse, une position écrite ou une négociation. Dans d’autres, il faudra saisir la juridiction compétente pour demander des dommages et intérêts. Une plainte à la CNIL peut exister en parallèle, mais elle ne remplace pas l’action indemnitaire : la CNIL contrôle et peut sanctionner, elle ne vous indemnise pas. Là encore, l’intérêt d’un avocat dès le départ est d’éviter les démarches désordonnées, les demandes mal formulées, ou les preuves perdues.

Il faut aussi être lucide sur ce qu’on peut attendre d’une telle action. Oui, une indemnisation est juridiquement possible. Non, elle n’est ni automatique ni garantie. Une procédure peut être longue, parfois technique, parfois coûteuse, et tout dépendra de la qualité du dossier, de la réalité du préjudice et de la capacité à prouver le lien avec la fuite. Mais c’est justement pour cela qu’il ne faut pas attendre des mois avant de réagir. Plus vous laissez passer du temps, plus les preuves se dispersent, plus il devient difficile de rattacher une fraude, un usage malveillant ou un trouble précis à un incident donné.

Il faut donc retenir une ligne simple : si vous envisagez une demande de réparation, contactez un avocat dès le début. N’attendez pas d’avoir “tout compris” seul. Son rôle est justement de qualifier juridiquement les faits, d’identifier les bons fondements, de cibler le bon interlocuteur, d’organiser la preuve et d’évaluer si une action a une chance sérieuse d’aboutir. Sans cela, beaucoup de victimes accumulent des éléments utiles mais les exploitent mal, ou trop tard.

Se tenir informé est indispensable, parce qu’une fuite de données ne s’arrête jamais au moment de sa révélation. Une fois sorties, les données peuvent circuler pendant des mois, parfois des années. Elles peuvent être revendues, republiées, recroisées avec d’autres bases, utilisées pour du phishing ciblé, des tentatives d’escroquerie, de l’usurpation d’identité ou d’autres formes d’exploitation malveillante. Ne pas suivre l’affaire, c’est souvent laisser le temps aux conséquences de s’installer sans même les voir venir.

Être informé, c’est d’abord pouvoir réagir. C’est comprendre qu’un service que vous utilisez a été touché, que vos informations ont peut-être circulé, et que ce n’est pas une simple péripétie technique sans effet. C’est aussi mieux identifier les risques, les anticiper, surveiller ce qui doit l’être, et ne pas attendre qu’un problème plus grave apparaisse pour découvrir que tout avait commencé par une fuite passée sous silence ou minimisée.

Se tenir informé, c’est aussi pouvoir obtenir des réponses. Trop d’organismes communiquent tard, mal, ou de manière volontairement floue. Plus les personnes concernées suivent le dossier, posent des questions, écrivent, relancent et exigent des explications, plus il devient difficile pour une entreprise, une administration ou un prestataire de banaliser l’incident, d’en réduire artificiellement la portée, ou de se contenter d’une communication vide.

C’est également une question de vigilance collective. Lorsqu’une fuite survient, elle ne concerne pas seulement une victime abstraite ou un chiffre dans un tableau. Elle touche des clients, des salariés, des patients, des proches, des collègues, parfois des publics déjà fragiles. Alerter autour de soi, prévenir les personnes susceptibles d’être concernées, partager une information fiable et rappeler les bons réflexes, c’est parfois éviter une fraude, une manipulation ou une usurpation.

Se tenir informé, c’est aussi rappeler une évidence trop souvent oubliée : ce sont vos données. Elles ont une valeur. Une valeur économique, commerciale, stratégique, parfois même politique. Elles alimentent des modèles fondés sur la collecte massive, la centralisation et l’exploitation permanente d’informations personnelles. Lorsqu’elles sont mal protégées, exposées ou compromises, ce n’est pas un simple incident technique. C’est le produit d’un système qui accumule toujours plus de données, souvent bien au-delà de ce qui serait réellement nécessaire, sans que les garanties suivent à la même hauteur.

C’est pour cela que la question dépasse le cas individuel. Se tenir informé, c’est aussi refuser l’idée selon laquelle les plateformes, les entreprises et certains services pourraient collecter massivement, conserver longtemps, exploiter largement, puis échapper à leurs responsabilités lorsque tout finit par fuiter. C’est rappeler que la régulation n’a de sens que si elle est connue, invoquée, activée et soutenue par les personnes concernées. Une règle que personne ne mobilise, une obligation que personne ne rappelle, une fuite que personne ne signale finissent toujours par profiter aux mêmes acteurs : ceux qui captent les données et minimisent ensuite les conséquences.

Se tenir informé, c’est aussi créer les conditions d’une sanction quand elle est nécessaire. Signaler, documenter, saisir les autorités, demander des comptes, ce n’est pas seulement se protéger soi-même. C’est aussi contribuer à faire émerger des réponses plus fermes contre les organismes négligents, à inciter les entreprises et les administrations à mieux protéger les données qu’elles collectent, et à rappeler que l’exposition massive d’informations personnelles ne peut pas rester sans conséquence.

Cette vigilance est tout aussi nécessaire pour que les cybercriminels soient poursuivis. Bien sûr, la responsabilité des organismes qui collectent et protègent mal les données doit être engagée lorsqu’elle existe. Mais il ne faut jamais perdre de vue qu’à l’origine de nombreuses fuites, il y a aussi des acteurs malveillants qui volent, extorquent, revendent, publient et exploitent des informations personnelles à grande échelle. Se tenir informé, signaler, conserver les éléments utiles et faire remonter les faits, c’est aussi participer, à son niveau, à la documentation de ces agissements et à la possibilité d’une réponse judiciaire ou répressive.

Se tenir informé, c’est enfin refuser la banalisation. Aujourd’hui, les fuites de données sont si fréquentes que beaucoup finissent par les considérer comme normales, presque inévitables. C’est précisément ce réflexe qu’il faut combattre. Une fuite de données n’est pas anodine. C’est une atteinte à la vie privée, à la sécurité et à l’autonomie des personnes concernées. Plus ces affaires sont suivies, documentées, signalées et discutées publiquement, plus il devient possible d’imposer une autre culture : celle de la responsabilité, de la transparence, de la limitation de la collecte, de la protection effective des données et de l’action.

En clair, se tenir informé, ce n’est pas céder à la peur. C’est rester lucide, protéger les siens, faire circuler l’alerte, demander des comptes, défendre la valeur de ses données, pousser les acteurs à mieux sécuriser ce qu’ils collectent, et refuser que les compromissions deviennent un bruit de fond auquel plus personne ne réagit. On ne peut pas accepter que des informations aussi sensibles soient aspirées, stockées, exploitées, puis exposées, sans réaction, sans sanction et sans poursuites lorsque cela est justifié.

Toute aide compte vraiment. Fuites Infos repose aussi sur les remontées du terrain. Si vous avez connaissance d’une fuite de données qui ne figure pas encore sur la plateforme, vous pouvez la signaler via le formulaire de contact.

Vous pouvez le faire si vous avez reçu une notification, si votre entreprise ou un organisme vous a informé d’un incident, si vous avez eu connaissance d’une fuite dans un cadre professionnel, ou si vous disposez d’éléments sérieux laissant penser qu’une compromission a eu lieu. Il n’est pas nécessaire d’être spécialiste en cybersécurité pour nous écrire. Ce qui importe, c’est de faire remonter l’information afin qu’elle puisse être examinée.

Même un signalement partiel peut être utile. Un message reçu, une capture d’écran, le nom d’un organisme, une date, un lien, une communication interne, une notification adressée aux usagers ou aux clients : tout cela peut aider à comprendre un incident, à le recouper et, si nécessaire, à l’ajouter au recensement. Plus vous partagez d’éléments, plus il est facile d’analyser la situation rapidement et sérieusement.

N’hésitez donc pas à nous écrire, même si vous n’êtes pas certain de tout comprendre ou de tout avoir. Il vaut mieux transmettre une information utile que la laisser de côté. Dans beaucoup de cas, ce sont justement ces remontées qui permettent d’identifier plus vite un incident, de le qualifier correctement et d’alerter les personnes concernées.

En signalant une fuite, vous ne faites pas seulement remonter une information. Vous participez aussi à une forme de vigilance collective. Vous aidez à documenter des incidents qui, sans cela, resteraient parfois invisibles, mal datés, mal qualifiés ou complètement passés sous silence.

Chaque signalement fait l’objet d’un examen avant toute publication. Le fait de nous écrire n’entraîne donc pas automatiquement une mise en ligne, mais cela peut réellement aider à mieux informer, plus vite, et de manière plus fiable.

Si vous constatez une erreur sur une fiche, une date, une qualification, un volume, le nom d’un organisme ou tout autre élément publié sur Fuites Infos, vous pouvez la signaler via le formulaire de contact.

Merci d’indiquer aussi clairement que possible l’erreur relevée et de joindre tout élément permettant de la corriger : document, capture d’écran, lien, précision chronologique ou toute autre pièce utile. Une demande précise, documentée et contextualisée permet un traitement plus rapide et plus fiable.

Si vous êtes un organisme, une entreprise, une administration ou un service recensé sur Fuites Infos et que vous souhaitez demander une correction, apporter une précision, signaler une mise à jour ou formuler une demande de suppression, vous pouvez également utiliser ce formulaire. Dans ce cas, il est important de transmettre tous les éléments utiles pour justifier votre demande et permettre son examen sérieux.

Les demandes sont étudiées avec attention, mais une demande émanant d’un organisme visé n’entraîne pas automatiquement la modification ou la suppression d’une publication. L’objectif reste de garantir une information fiable, loyale et justifiée. Une réponse est apportée dans les meilleurs délais.

Les données de contact transmises dans le cadre d’un signalement, d’une demande de correction ou d’un échange via le formulaire sont utilisées uniquement pour traiter votre demande, vérifier les informations reçues et, si nécessaire, reprendre contact avec vous.

Elles ne sont pas utilisées à d’autres fins. Elles sont conservées uniquement pendant le temps nécessaire au traitement de la demande et au suivi éventuel de l’échange, puis supprimées. Lorsqu’elles ne sont plus utiles, elles n’ont pas vocation à être conservées.

Si vous souhaitez savoir si certaines données de contact vous concernant sont encore détenues dans ce cadre, vous pouvez écrire via le formulaire pour demander une vérification manuelle.

J’ai consacré une vidéo pratique et pédagogique à ce sujet : “FUITES DE DONNÉES : 10 RÉFLEXES pour ne plus être une cible facile”.

On ne peut pas empêcher toutes les fuites de données. En revanche, on peut réduire très fortement ce qu’elles permettent de faire contre vous. Toute la logique d’une bonne hygiène numérique repose sur cette idée : limiter l’exposition, cloisonner ses informations, et empêcher qu’une fuite devienne une porte d’entrée vers toute votre vie numérique.

Le premier réflexe consiste à ne donner que le strict nécessaire. Plus une plateforme collecte d’informations sur vous, plus une fuite sera riche, exploitable, et dangereuse. Nom réel, date de naissance complète, adresse postale, numéro de téléphone, habitudes, documents, informations familiales : tout ce que vous donnez aujourd’hui peut être recoupé demain. Il faut donc reprendre l’habitude de se demander, à chaque inscription ou à chaque formulaire, si l’information demandée est vraiment nécessaire, et si elle doit forcément être exacte lorsqu’aucune obligation légale ne l’impose.

Il faut ensuite protéger les grands identifiants de votre vie numérique : votre adresse e-mail principale, votre numéro de téléphone principal, votre adresse postale, vos mots de passe et vos données bancaires. Ce sont eux qui permettent ensuite aux escrocs, aux démarcheurs agressifs, aux fraudeurs ou aux cybercriminels de vous profiler, de vous cibler ou de rebondir d’un service à l’autre.

L’un des meilleurs réflexes consiste à utiliser des alias e-mail. L’idée est simple : ne plus donner partout la même adresse principale. Avec Proton Mail et surtout Proton Pass, vous pouvez créer un alias différent pour chaque service. Ainsi, si un site fuit, ce n’est pas votre vraie adresse qui circule partout, mais un alias isolé, que vous pouvez désactiver ou remplacer. C’est l’un des moyens les plus efficaces de réduire l’effet domino après une compromission. Si vous n’utilisez pas Proton, des alternatives comme les alias iCloud ou d’autres services spécialisés peuvent aussi faire l’affaire.

Autre règle essentielle : un mot de passe unique pour chaque site. Réutiliser le même mot de passe est l’une des pires habitudes en cas de fuite. Si un seul service est compromis, tous les autres deviennent vulnérables. La bonne méthode consiste à utiliser un gestionnaire de mots de passe. Là encore, Proton Pass est une très bonne option si vous voulez rester dans un écosystème cohérent orienté vie privée. Il permet de générer, stocker et remplir automatiquement des mots de passe forts et différents sur chaque service. Si vous préférez une autre solution, Bitwarden ou KeePassXC sont aussi d’excellentes alternatives.

Il faut également activer la double authentification partout où c’est possible. Lorsqu’un service propose plusieurs méthodes, mieux vaut éviter le SMS si vous avez une autre option. Les applications d’authentification ou, mieux encore, les passkeys et les clés de sécurité offrent une protection nettement supérieure. Si vous cherchez une solution dans l’écosystème Proton, Proton Authenticator peut s’intégrer dans une logique cohérente. Sinon, des applications comme Aegis ou d’autres authentificateurs reconnus sont très largement utilisées.

Il est aussi important de séparer les usages. Un numéro de téléphone principal ne devrait pas être distribué partout. Un compte bancaire principal ne devrait pas être celui que vous exposez pour tous vos paiements en ligne. Une adresse postale personnelle ne devrait pas être communiquée à tous les services qui la réclament par confort. Plus vous cloisonnez, plus vous réduisez les dégâts lorsqu’un acteur laisse fuiter vos données.

Enfin, une bonne hygiène numérique, c’est aussi quelques habitudes de base trop souvent négligées : mettre ses appareils à jour, supprimer les vieux comptes inutilisés, éviter les connexions via “Se connecter avec Google/Facebook/X”, se méfier des liens reçus par SMS ou e-mail, vérifier les demandes inhabituelles par ses propres moyens, et ne jamais transmettre un document sensible sans précaution, notamment sans filigrane lorsque c’est possible.

Les dix idées à retenir sont simples : minimiser les données données aux plateformes, protéger son adresse postale, cloisonner son numéro de téléphone, utiliser des alias mail, avoir des mots de passe uniques, activer une vraie double authentification, éviter les arnaques après fuite, protéger ses moyens de paiement, filigraner les documents transmis, et choisir de meilleurs outils au quotidien.

Lorsqu’une fuite vous concerne, il faut agir vite, sans paniquer, mais sans attendre. Les premières heures et les premiers jours comptent, parce qu’ils permettent souvent d’éviter qu’une exposition de données se transforme en prise de contrôle de compte, en fraude ou en usurpation.

La première chose à faire est de changer immédiatement le mot de passe du service concerné, puis de modifier tous les autres comptes sur lesquels vous auriez réutilisé le même mot de passe ou un mot de passe proche. Si vous utilisez un gestionnaire comme Proton Pass, cela devient beaucoup plus simple et beaucoup plus rapide.

Il faut ensuite activer ou renforcer la double authentification sur les comptes importants, et vérifier que vos options de récupération de compte n’ont pas été modifiées. Pensez aussi à déconnecter les sessions actives, à vérifier les appareils connectés, et à contrôler qu’aucune règle de transfert d’e-mails ou qu’aucune application tierce inconnue n’a été ajoutée discrètement.

Si des données bancaires ou un IBAN sont en cause, il faut surveiller vos comptes de près, activer les alertes de transaction si elles existent, et contacter rapidement votre banque en cas d’opération suspecte. Si une pièce d’identité, une adresse, un numéro de téléphone ou d’autres informations sensibles ont fuité, il faut redoubler de vigilance face aux appels, SMS, e-mails ou courriers inhabituels dans les semaines qui suivent.

Après une fuite, il faut aussi s’attendre à une hausse du phishing ciblé. Les escrocs exploitent justement les informations compromises pour rendre leurs messages plus crédibles. Un e-mail qui contient votre vrai nom, votre numéro, un ancien mot de passe, une référence client ou un élément de votre vie personnelle devient plus dangereux qu’une arnaque grossière. La règle reste donc la même : ne jamais cliquer sous pression, ne jamais transmettre un code, et toujours passer par le site ou l’application officielle.

Si vous avez transmis un document sensible, gardez en tête qu’une pièce d’identité, une fiche de paie ou un justificatif d’adresse peuvent être réutilisés. Pour l’avenir, le bon réflexe est d’utiliser un filigrane avec la date, le destinataire et l’objet de la transmission. Cela ne supprime pas le risque, mais cela réduit l’exploitabilité du document s’il circule ailleurs.

Enfin, il faut aussi surveiller dans le temps. Une fuite n’est pas toujours exploitée immédiatement. Certaines données ressurgissent des semaines ou des mois plus tard, revendues ou réinjectées dans d’autres campagnes. Il faut donc garder un œil sur ses comptes, ses connexions, ses relevés, ses boîtes mail et ses messages suspects.

Il n’existe pas un outil unique qui règle tout. En revanche, il existe un petit socle d’outils qui améliore fortement votre sécurité et votre vie privée au quotidien.

Pour les mots de passe et les alias e-mail, Proton Pass est l’une des meilleures options si vous cherchez une solution simple, efficace et cohérente avec une logique de minimisation des données. Il permet de générer des mots de passe uniques, de stocker vos identifiants, d’utiliser des alias mail, et d’adopter progressivement les passkeys. En alternative, Bitwarden est une très bonne option grand public, et KeePassXC convient très bien à celles et ceux qui préfèrent une solution locale.

Pour la messagerie, Proton Mail est un choix solide si vous voulez réduire votre dépendance aux grands écosystèmes publicitaires et protéger davantage votre adresse principale. Là encore, l’intérêt n’est pas seulement le chiffrement, mais aussi toute la logique d’écosystème autour des alias et de la séparation des usages.

Pour la double authentification, il faut privilégier une application dédiée plutôt que le SMS. Si vous souhaitez rester dans l’écosystème Proton, Proton Authenticator a du sens. En alternative, Aegis est une référence très appréciée, notamment sur Android. Et pour les comptes les plus sensibles, rien ne remplace une clé de sécurité physique comme YubiKey ou Nitrokey.

Pour la surveillance des fuites, le réflexe de base reste Have I Been Pwned pour vérifier si une adresse e-mail apparaît dans certaines bases déjà indexées. Ce n’est pas exhaustif, mais c’est utile. Vous pouvez aussi utiliser les alertes de sécurité proposées par certains grands fournisseurs de comptes, selon vos usages.

Pour la navigation, mieux vaut utiliser un navigateur plus respectueux de la vie privée. Brave peut convenir à beaucoup d’utilisateurs. D’autres préféreront Firefox avec un bon bloqueur comme uBlock Origin.

Pour le VPN, si vous utilisez régulièrement des réseaux publics ou des connexions que vous ne maîtrisez pas, Proton VPN est un choix cohérent, surtout si vous êtes déjà chez Proton. Il existe d’autres VPN sérieux, mais il faut éviter les services gratuits opaques dont le modèle économique repose justement sur la collecte.

Pour les documents d’identité transmis, un outil comme Filigrane Facile permet d’ajouter une mention visible afin de réduire les risques de réutilisation abusive. C’est un réflexe simple et très utile.

Pour les signalements officiels et l’assistance, il faut connaître quelques ressources importantes : Cybermalveillance.gouv.fr, la CNIL, PHAROS, Signal Spam, PERCEVAL pour les cartes bancaires, ou encore Service-Public.fr selon la nature du problème. Ces outils ne protègent pas à eux seuls, mais ils permettent d’agir, de signaler et de ne pas rester seul face à l’incident.

Au fond, le plus important n’est pas d’accumuler les applications. C’est d’adopter quelques outils fiables et de vraiment les utiliser. Un bon gestionnaire de mots de passe, des alias mail, une double authentification sérieuse, un peu de discipline sur les informations transmises, et quelques réflexes face aux arnaques suffisent déjà à changer radicalement votre niveau de protection.