Depuis la fuite de données France Titres-ANTS, une nouvelle question monte : faut-il déposer une plainte CNIL, une plainte pénale, une demande d’indemnisation, ou les trois ? L’actualité du 7 mai 2026 a relancé le sujet après l’annonce d’une plainte déposée auprès de la CNIL contre l’Etat et de demandes préalables d’indemnisation liées au piratage du portail ANTS.
La réponse courte est la suivante : la plainte CNIL sert à signaler un manquement aux règles de protection des données personnelles ; la plainte pénale sert à dénoncer une infraction ou un usage frauduleux de vos données ; la demande d’indemnisation suppose de démontrer un préjudice personnel. Il ne faut donc pas choisir au hasard. Il faut partir de votre situation concrète : simple notification, phishing ciblé, compte ouvert à votre nom, crédit inconnu, amende, faux permis, faux dossier administratif ou préjudice financier.
Le signal de recherche est fort. Google Ads indique environ 1 300 recherches mensuelles en France sur «plainte cnil», 210 sur «cnil plainte en ligne» et 40 sur «plainte cnil indemnisation». Search Console montre aussi une demande élevée autour des conséquences de la cyberattaque ANTS. L’enjeu est pratique : beaucoup d’usagers savent qu’une fuite a eu lieu, mais ne savent pas quel recours produit un effet utile.
Ce que l’actualité ANTS permet de dire
Le ministère de l’Intérieur a indiqué que l’ANTS avait détecté le 15 avril 2026 un incident de sécurité pouvant impliquer la divulgation de données issues de comptes particuliers et professionnels du portail ants.gouv.fr. Le Gouvernement a ensuite précisé que 11,7 millions de comptes seraient concernés.
Les données évoquées par les communications officielles sont des données d’identification : identifiant de connexion, civilité, nom, prénoms, adresse électronique, date de naissance, identifiant unique du compte et, selon certains comptes, adresse postale, lieu de naissance ou téléphone. Les communications officielles indiquent aussi que les pièces jointes et les données biométriques ne seraient pas concernées à ce stade.
Il ne faut pas en conclure que le risque est nul. Des données d’identification peuvent suffire à préparer un hameçonnage crédible, une tentative d’ouverture de compte, une demande de document supplémentaire, une fraude bancaire ou une usurpation d’identité. L’actualité de mai 2026 ne change donc pas seulement le niveau d’alerte : elle impose de distinguer les recours.
Plainte CNIL : à quoi sert-elle vraiment ?
Une plainte CNIL n’est pas une plainte pénale. Elle vise à saisir l’autorité chargée de contrôler le respect du RGPD et de la loi Informatique et Libertés. Elle peut être utile si vous estimez que vos droits sur vos données personnelles ne sont pas respectés, si vous n’êtes pas correctement informé, si l’organisme ne répond pas à vos demandes, ou si vous contestez la gestion d’une violation de données.
La CNIL explique que les plaintes reçues permettent la réception, l’orientation, l’instruction et le suivi des réclamations liées aux règles de protection des données personnelles. Elle peut contrôler, demander des explications, mettre en demeure ou sanctionner selon les cas. Mais elle ne remplace pas le commissariat, la gendarmerie, le procureur, la banque ou le juge civil.
Dans une fuite ANTS, la plainte CNIL peut donc avoir du sens si vous voulez signaler un problème de sécurité, d’information ou d’exercice de droits. Elle est moins adaptée si votre identité a déjà été utilisée pour ouvrir un crédit, créer un faux compte, vous faire recevoir une amende ou encaisser des fonds. Dans ce cas, il faut aussi raisonner en plainte pénale et en contestation auprès de l’organisme qui vous met en cause.
Plainte pénale : quand devient-elle indispensable ?
La plainte pénale devient indispensable dès qu’il existe un usage concret de votre identité ou de vos données. La simple peur d’une fuite ne suffit pas toujours. En revanche, il faut agir si vous constatez un compte bancaire inconnu, une ligne téléphonique ouverte à votre nom, un crédit, un faux document, une contravention, une démarche administrative ou un message envoyé en votre nom.
Plusieurs qualifications peuvent être discutées selon les faits :
- l’usurpation d’identité, lorsque vos données sont utilisées pour vous faire porter un acte ou troubler votre tranquillité ;
- l’escroquerie, lorsque la fraude sert à obtenir de l’argent, un bien, un service ou un acte ;
- le faux et l’usage de faux, lorsqu’un document est fabriqué ou utilisé ;
- l’accès frauduleux, l’extraction ou la transmission frauduleuse de données, pour l’auteur de l’attaque informatique ;
- le détournement ou la divulgation illicite de données personnelles, lorsque les conditions légales sont réunies.
La plainte doit être concrète. Il ne faut pas écrire seulement : «mes données ANTS ont fuité». Il faut expliquer ce qui s’est passé après : date de notification, message suspect, organisme concerné, usage de votre identité, somme réclamée, référence de dossier, numéro de compte, avis d’amende ou document reçu.
Indemnisation : ce qu’il faut prouver
La demande d’indemnisation est un troisième sujet. Elle ne se confond ni avec la plainte CNIL ni avec la plainte pénale. Pour obtenir une indemnisation, il faut établir un dommage personnel : perte financière, frais engagés, fichage bancaire, temps passé dans des démarches anormales, refus de crédit, atteinte à la réputation, procédure injustifiée, anxiété documentée dans certains dossiers.
L’actualité du 7 mai 2026 est importante parce qu’une association a annoncé une plainte auprès de la CNIL et des demandes préalables d’indemnisation. Cela ne signifie pas que chaque usager obtiendra automatiquement une somme. Une demande individuelle sérieuse doit relier trois éléments : la violation ou la faute alléguée, le préjudice subi, et le lien entre les deux.
Si vous n’avez reçu qu’une information générale sur la fuite, le préjudice indemnisable sera plus difficile à établir. Si, en revanche, vous avez subi une fraude, une inscription Banque de France, un refus bancaire, une mise en demeure, une usurpation de plaque ou une procédure pénale ouverte sous votre nom, le dossier devient plus solide.
Quel ordre suivre après une alerte ANTS ?
Le bon ordre dépend de la gravité.
Si vous n’avez reçu qu’une notification officielle, changez le mot de passe du compte concerné, surveillez vos messages, n’utilisez que les sites officiels et ne cliquez sur aucun lien reçu par SMS ou courriel. La CNIL rappelle que les données issues d’une fuite peuvent permettre des messages d’hameçonnage plus réalistes.
Si vous recevez un SMS, un appel ou un courriel suspect, conservez la preuve. Faites une capture, notez le numéro, l’adresse d’expédition, le lien, l’heure et le contenu. Ne transmettez pas de pièce d’identité, de RIB, de code SMS ou de mot de passe. Signalez l’hameçonnage par les canaux adaptés.
Si vous découvrez un usage de votre identité, déposez plainte. En parallèle, écrivez à l’organisme concerné : banque, opérateur, société de crédit, administration, plateforme ou service de recouvrement. Demandez la conservation des preuves techniques et la communication du dossier de souscription.
Si vous voulez contester la gestion de vos données par un organisme, saisissez la CNIL. Si vous demandez une indemnisation, préparez un dossier de préjudice : factures, frais, relances, courriers, refus, fichages, captures, récépissé de plainte, preuve du temps et des démarches subies.
La plainte CNIL ne suffit pas à protéger votre dossier bancaire
C’est l’erreur la plus fréquente. Une plainte CNIL peut alerter l’autorité de contrôle, mais elle ne suspend pas automatiquement un crédit souscrit sous votre nom, une relance bancaire, une procédure de recouvrement ou une amende.
Si un organisme vous réclame une somme, il faut lui répondre directement et par écrit. Le courrier doit dire que vous contestez être l’auteur du contrat ou de la démarche, que vous avez déposé plainte ou que vous allez le faire, et que vous demandez la transmission des pièces utilisées pour ouvrir le dossier.
Dans un dossier bancaire, demandez au minimum : le contrat, la signature, le justificatif d’identité transmis, le RIB, l’adresse mail, le téléphone, l’adresse IP si elle est disponible, l’adresse de livraison, le canal de souscription et la date de validation. Ces éléments permettent de montrer que le dossier ne correspond pas à vous.
La plainte pénale ne suffit pas toujours pour obtenir réparation
L’autre erreur consiste à croire que le récépissé de plainte règle tout. Il est utile, mais il ne prouve pas à lui seul le préjudice. Une banque, un assureur, un opérateur ou une administration peut demander des éléments supplémentaires.
La plainte doit donc être accompagnée d’une stratégie de preuve. Il faut conserver les messages d’origine, les relances, les appels, les courriers, les captures d’écran et les réponses des organismes. Il faut aussi demander la rectification ou le blocage des données lorsque c’est possible.
Si le préjudice est financier, gardez les justificatifs de paiement, frais bancaires, refus de crédit, fichage, perte de chance ou démarches imposées. Si le préjudice est administratif, gardez les échanges avec l’administration, les délais subis et les conséquences concrètes.
Ce que change la jurisprudence récente sur les données personnelles
La chambre criminelle de la Cour de cassation a rappelé le 13 janvier 2026, dans une décision publiée au Bulletin, que les infractions liées aux données personnelles ne se réduisent pas toujours à une seule catégorie technique. Elle indique notamment que l’article 226-22 du Code pénal «est applicable tant aux traitements automatisés qu’aux traitements manuels».
Cette décision ne porte pas sur la fuite ANTS. Elle montre toutefois que les dossiers pénaux liés aux données personnelles nécessitent une qualification précise. Selon le cas, il faut distinguer l’attaque informatique, le détournement de finalité, la divulgation, l’usage de l’identité, l’escroquerie et les conséquences civiles ou bancaires.
Pour une victime, l’enjeu n’est pas de citer tous les articles du Code pénal. L’enjeu est de raconter les faits dans l’ordre et d’apporter les pièces qui permettent d’identifier l’usage réel des données.
Paris et Île-de-France : quand faut-il agir vite ?
À Paris et en Île-de-France, le sujet peut devenir urgent lorsque la fuite de données produit un effet concret : convocation, relance de crédit, fichage Banque de France, amende, compte ouvert, faux dossier administratif, faux permis, faux profil ou fraude bancaire.
Dans ces dossiers, il faut préparer un dossier court :
- une chronologie d’une page ;
- les messages et courriers reçus ;
- la preuve de la notification ANTS ou du lien possible avec la fuite ;
- le récépissé de plainte si l’identité est utilisée ;
- les demandes écrites adressées à la banque, à l’opérateur, à l’administration ou à la plateforme ;
- les réponses obtenues ;
- les justificatifs du préjudice.
Le dépôt de plainte peut se faire auprès d’un commissariat ou d’une brigade de gendarmerie, ou par les téléservices lorsqu’ils sont adaptés aux faits. Mais si vous êtes déjà convoqué ou mis en cause, il faut préparer la défense du dossier avant l’audition ou la réponse à l’organisme.
Cinq erreurs à éviter
La première erreur est de déposer uniquement une plainte CNIL alors qu’un crédit ou une procédure vous vise déjà. Il faut aussi déposer plainte pénale et contester l’organisme concerné.
La deuxième est de déposer une plainte pénale trop vague. Une plainte utile décrit les faits, les dates, les pièces, les conséquences et les interlocuteurs.
La troisième est de transmettre une nouvelle copie de pièce d’identité à un interlocuteur non vérifié. Après une fuite, les fraudeurs cherchent souvent à récupérer la pièce qui leur manque.
La quatrième est de négliger l’indemnisation. Si vous avez subi un préjudice, il faut le documenter dès le début. Les frais, relances, refus, fichages et démarches imposées doivent être conservés.
La cinquième est d’attendre la fin de l’enquête générale ANTS. L’enquête publique ne remplace pas vos démarches individuelles lorsque votre identité est utilisée.
Checklist rapide
Dans les premières heures, sécurisez vos comptes : mot de passe, adresse mail, double authentification, appareils connectés, vigilance sur les SMS et appels.
Dans les 48 heures, classez les preuves : notification officielle, messages suspects, captures, courriers, relances, numéros de dossier, références bancaires ou administratives.
Dès qu’un usage de votre identité apparaît, déposez plainte. Demandez un récépissé. Transmettez-le aux organismes qui vous réclament quelque chose.
Si vous voulez contester la gestion de vos données personnelles, préparez une plainte CNIL distincte. Expliquez le manquement reproché et joignez les demandes restées sans réponse.
Si vous demandez une indemnisation, ne vous contentez pas d’évoquer la fuite. Chiffrez et justifiez le préjudice : frais, temps, conséquences bancaires, démarches, refus, courriers, anxiété documentée si elle est invoquée.
Sources utiles
- Point officiel du Gouvernement : France Titres : le point sur l’incident de sécurité.
- Communiqué du ministère de l’Intérieur : Incident de sécurité relatif au portail ants.gouv.fr.
- CNIL : Fuite ou vol de données : que pouvez-vous faire ?.
- CNIL : gestion des plaintes reçues par la CNIL.
- Cour de cassation : Crim., 13 janvier 2026, n° 25-80.474.
- A lire aussi : cyberattaque ANTS et usurpation d’identité : preuves à conserver, faux permis après la cyberattaque ANTS et plainte en ligne : preuves et recours.
Besoin d’un avis rapide sur votre dossier.
Consultation téléphonique en 48 heures avec un avocat du cabinet.
Analyse rapide de votre situation : plainte CNIL, plainte pénale, contestation bancaire, usurpation d’identité, faux document, amende ou demande d’indemnisation.
Appelez le cabinet au 06 89 11 34 45 ou utilisez la page contact du cabinet. Le cabinet intervient à Paris et en Île-de-France pour les dossiers d’usurpation d’identité, cybercriminalité, escroquerie, plainte pénale, contestation bancaire et conséquences de fuite de données.
