La défaillance structurelle — l'État français face à ses données

Cette note s’appuie sur les rapports publics de la CNIL (notamment le rapport annuel 2024 et la délibération France Travail du 22 janvier 2026), sur la jurisprudence de la Cour de justice de l’Union européenne en matière d’article 82 du RGPD, et sur les communications officielles des organismes concernés entre janvier 2024 et mars 2026.

---

Pendant l’essentiel de la décennie 2010, les fuites de données affectant la sphère publique française restaient des événements rares, circonscrits, rapidement refermés. Leur traitement médiatique tenait en quelques jours et la loi Informatique et Libertés de 1978 avait façonné un régime dans lequel l’État se présentait volontiers comme le gardien des données personnelles plutôt que comme leur exposant potentiel. Entre janvier 2024 et février 2026, ce cadre implicite s’est effondré. La Commission nationale de l’informatique et des libertés a enregistré 5 629 notifications de violations de données personnelles en 2024, soit une hausse de vingt pour cent par rapport à 2023 ; en 2025, ce chiffre atteint 5 840 notifications, avec 40,3 millions de comptes compromis sur l’année. La France occupait alors le deuxième rang mondial en volume de fuites, et le premier rang en densité rapportée à la population, avec un ratio douze fois supérieur à la moyenne mondiale.

Cette accélération quantitative s’accompagne d’un basculement qualitatif qui constitue le cœur de la présente analyse : l’irruption de l’État, de ses opérateurs et de ses sous-traitants comme acteurs centraux des incidents. Sur la quarantaine de violations touchant plus d’un million de personnes recensées par la CNIL en 2024, une proportion significative concerne des entités publiques ou exécutant une mission de service public. Le Règlement général sur la protection des données du 27 avril 2016 n’accorde pourtant aucun statut dérogatoire à l’État lorsqu’il traite des données personnelles. Toute administration, tout opérateur public qui collecte, stocke ou fait circuler des données de citoyens se trouve qualifié de responsable de traitement au sens de l’article 4 du règlement, et doit à ce titre respecter l’ensemble des obligations de sécurité, de notification et de coopération qui s’imposent à n’importe quel acteur économique privé. La CNIL a explicité ce point à plusieurs reprises, notamment dans sa délibération du 22 janvier 2026 sanctionnant France Travail à hauteur de cinq millions d’euros, où l’autorité rappelle que si l’ingénierie sociale ne peut être totalement prévenue, cette réalité n’exonère pas le responsable de traitement de mettre en place des mesures techniques et organisationnelles adaptées à l’état de l’art.

L’État, dans le droit européen des données, n’est donc pas une victime passive des cyberattaques qui frappent ses systèmes : il en est le responsable juridique, susceptible d’engager sa propre responsabilité s’il a manqué aux obligations qui lui incombent. Cette qualification — dont nous verrons qu’elle rencontre en pratique des limites procédurales considérables lorsqu’il s’agit d’obtenir réparation — constitue le fil directeur de cette note.

Le choix de concentrer l’analyse sur la sphère publique n’est pas neutre. Dans l’économie privée, l’utilisateur conserve, au moins formellement, la possibilité de choisir son prestataire, de diversifier ses comptes, de minimiser son exposition. Face à l’État, cette faculté disparaît : nul ne choisit de confier son numéro de sécurité sociale à France Travail, ses antécédents judiciaires au ministère de l’Intérieur ou ses allocations familiales à la CAF. L’asymétrie de la relation rend la défaillance plus grave et les voies de recours, comme on le verra, structurellement plus étroites.

L’affaire Cegedim, révélée publiquement le 26 février 2026 par une enquête de France Télévisions, constitue à la date de rédaction de cette note la plus importante violation de données médicales jamais documentée en France. L’éditeur Cegedim Santé, filiale du groupe Cegedim coté sur Euronext Paris, a confirmé le 27 février une cyberattaque ayant visé mille cinq cents de ses trois mille huit cents médecins utilisateurs du logiciel MonLogicielMedical. Le volume initialement annoncé est de 15,8 millions de dossiers administratifs, dont environ 164 000 contiennent une annotation personnelle du médecin relative à une information sensible. Le hacker à l’origine du vol, opérant sous le pseudonyme DumpSec, revendique dix-neuf millions de lignes exfiltrées, avec environ quatre millions de doublons, couvrant une période de trois à quinze ans selon l’ancienneté d’installation du logiciel. La chronologie interroge directement la conformité au règlement européen. L’éditeur a identifié un comportement anormal de requêtes applicatives fin 2025, déposé plainte auprès du procureur de Paris le 27 octobre 2025, contacté les médecins concernés « début janvier » 2026, mais n’a communiqué publiquement qu’après les révélations de France 2 — soit un délai d’environ quatre mois entre la détection et l’information publique, alors que l’article 34 du RGPD impose une notification des personnes concernées « dans les meilleurs délais » en cas de risque élevé. Le contenu des champs libres exfiltrés a été documenté par la rédaction de France 2, qui a pu consulter une base en accès sur le dark web : mentions de séropositivité VIH, de tendance suicidaire grave, d’addictions, d’infidélité conjugale, de victimes d’agression sexuelle, mais également orientations sexuelles et convictions religieuses. Des personnalités politiques de premier plan, des hauts fonctionnaires et des responsables de la sécurité nationale figureraient parmi les personnes concernées. L’action Cegedim a chuté de plus de neuf pour cent à la Bourse de Paris le lendemain de la confirmation.

Ce cas ne relève pas directement de la sphère publique au sens strict — Cegedim est une société privée cotée — mais il s’y rattache fonctionnellement : le logiciel MonLogicielMedical est utilisé par des professionnels de santé libéraux qui exécutent, dans le cadre du système d’assurance maladie obligatoire, une mission régalienne de prise en charge sanitaire. L’incident illustre par ailleurs le rôle critique joué par les éditeurs privés de logiciels dans la sécurité des données publiques ou parapubliques, rôle que les programmes Care du ministère de la Santé et Ségur numérique tentent de mieux encadrer sans y être pleinement parvenus.

Le 19 janvier 2026, l’Union de recouvrement pour la sécurité sociale et les allocations familiales a reconnu qu’un accès frauduleux à son interface de programmation relative à la Déclaration préalable à l’embauche avait permis la consultation des données d’embauche de jusqu’à douze millions de salariés sur trois ans. Le mode opératoire est typique des incidents de la période 2025-2026 : les pirates ont d’abord dérobé les identifiants d’un partenaire officiel de l’URSSAF, se sont connectés à l’API avec un compte parfaitement légitime, et se sont fondus dans le trafic sans déclencher la moindre alerte. L’organisme précise que ses serveurs n’ont pas été piratés au sens strict, mais qu’un accès autorisé a été détourné avant d’être coupé. Les données consultées comprennent noms, prénoms, dates de naissance, dates d’embauche et numéros SIRET des employeurs, pour tous les salariés embauchés depuis janvier 2023. L’URSSAF a annoncé à la suite de l’incident un renforcement de ses protocoles, notamment la généralisation de la double authentification pour les accès partenaires — mesure que l’organisme n’avait pas appliquée jusqu’alors sur des accès manipulant pourtant des données sensibles à très grande échelle. L’incident n’était pas isolé au sein de la sphère URSSAF : Pajemploi, opéré par le même organisme pour la gestion des assistants maternels et des gardes d’enfants à domicile, avait déjà été victime antérieurement d’un vol de données signalé à la CNIL et à l’ANSSI, avec dépôt de plainte pénale auprès du procureur de la République.

Le 1er janvier 2026, un hacker a revendiqué sur Breach Forums la mise en vente d’une base d’environ deux millions de lignes liées à l’Office français de l’immigration et de l’intégration. Le directeur général Didier Leschi a confirmé que l’attaque ne ciblait pas directement le système d’information de l’Ofii, mais l’un de ses sous-traitants — un opérateur chargé de dispenser les cours de langue dans le cadre du contrat d’intégration républicaine. L’Ofii ignorait encore, au moment de la confirmation publique, si ce sous-traitant avait subi une attaque technique externe ou s’il s’agissait d’une complicité interne. Les fichiers diffusés contenaient l’identité et la situation administrative des victimes, leurs coordonnées complètes, numéros de dossiers, motifs de séjour en France, et concernaient notamment des ressortissants ukrainiens, camerounais, afghans, chinois et israéliens. Le caractère extrêmement sensible de ces données pour des populations par définition vulnérables — ressortissants étrangers, parfois réfugiés, susceptibles d’être ciblés dans leur pays d’origine — aggrave la portée de la fuite, sans proportion avec le volume pourtant modéré. Le 16 janvier 2026, la Direction interministérielle du numérique a par ailleurs révélé avoir détecté le 9 janvier une attaque sur la plateforme HubEE, utilisée par plusieurs directions centrales — la Direction de l’information légale et administrative, la Direction générale de la cohésion sociale, la Direction générale de la Santé et la CNAF — pour les démarches en ligne réalisées via le site service-public.gouv.fr. L’incident marque la compromission d’une brique transversale de l’État numérique : non pas un opérateur sectoriel, mais l’infrastructure d’échange documentaire qui irrigue plusieurs directions de l’administration centrale.

L’attaque du 11 au 12 décembre 2025 contre le ministère de l’Intérieur constitue, sur le plan symbolique, la plus grave atteinte à la souveraineté informationnelle de l’État français. Laurent Nuñez, ministre de l’Intérieur, a été interrogé par le Sénat le 13 janvier 2026 et a reconnu un « manque d’hygiène informatique ». Le bilan officiel établit soixante-douze fiches du Traitement des antécédents judiciaires exfiltrées sur les dix-neuf millions que compte ce fichier, auxquelles s’ajoutent plusieurs dizaines de milliers de lignes de synthèse, vingt-trois fiches extraites du Fichier des personnes recherchées — incluant les fichés S — et dix fiches Interpol consultées, dont une exfiltrée. Le mode opératoire est d’une simplicité qui, à elle seule, qualifie la gravité de la défaillance. Après avoir accédé à la messagerie de la police nationale, un pirate de vingt-deux ans, depuis arrêté, a effectué une recherche classique d’identifiants et de mots de passe dans les courriels : environ cinquante mots-clés lui ont suffi pour trouver les informations indiquées en clair par les agents. Aucune sophistication technique, aucun malware inédit : une pratique d’hygiène numérique basique, universellement enseignée depuis deux décennies, a été ignorée par des agents manipulant des fichiers parmi les plus sensibles de la République. Le ministre a annoncé la réinitialisation des mots de passe, la suppression d’un millier de comptes obsolètes, la mise en place de la double authentification et son extension progressive à toutes les applications du ministère. Il convient de souligner que ces mesures élémentaires sont présentées, fin 2025, comme des correctifs à apporter — ce qui en signale l’absence antérieure.

Le fichier TAJ lui-même faisait déjà l’objet, fin 2024, d’un rappel à l’ordre de la CNIL adressé aux ministères de l’Intérieur et de la Justice pour leur « mauvaise gestion » du fichier, l’autorité reprochant la conservation de données incomplètes ou inexactes en raison d’une absence de transmission de certaines informations par les parquets. La CNIL soulignait alors que cette absence pouvait avoir des conséquences concrètes et graves pour les personnes, notamment en influant sur la conclusion d’enquêtes administratives préalables à l’exercice d’une profession ou à l’admission à un concours de la fonction publique. Le fichier TAJ, commun à la police et à la gendarmerie, contenait en 2022 dix-sept millions de fiches de personnes mises en cause — non nécessairement condamnées — et quarante-huit millions de fiches de victimes. L’imbrication entre la mauvaise qualité des données conservées et leur mauvaise sécurisation dessine un problème à double face : les données mal tenues n’auraient pas dû figurer dans le fichier, et celles qui devaient y figurer n’ont pas été suffisamment protégées.

Dans la nuit du 17 au 18 décembre 2025, un fichier d’environ quinze gigaoctets a été publié sur un forum cybercriminel, contenant précisément vingt-deux millions quatre cent quarante-cinq mille sept cent soixante-quatre lignes de données attribuées à la Caisse nationale des allocations familiales, couvrant la période de septembre 2024 à novembre 2025. Les données concernent noms, adresses postales, adresses électroniques et numéros de téléphone d’allocataires. L’authenticité a été vérifiée par la rédaction du média Les Numériques, à l’origine de la divulgation publique. La position de la CNAF a été évolutive et révélatrice d’un schéma problématique de communication de crise : l’organisme a d’abord affirmé n’avoir fait l’objet d’aucune cyberattaque et certifié qu’aucun incident de sécurité n’avait affecté ses systèmes d’information ni les données des allocataires, renvoyant les origines probables de la fuite vers des services publics partenaires sans les identifier nommément. Ce positionnement rejoint celui déjà adopté lors d’un précédent incident, en février 2024, où la Caisse avait d’abord évoqué quatre comptes compromis avant de reconnaître, après plusieurs jours d’investigations, que plusieurs milliers de comptes allocataires avaient été visités de manière illégitime par le groupe cybercriminel LulzSec. Ce dernier avait revendiqué le piratage de six cent mille comptes sur les treize millions cinq cent mille bénéficiaires de la Caf — la CNAF n’ayant jamais confirmé ce volume, tout en admettant ne pouvoir préciser le nombre exact de victimes. La séquence met en lumière un arbitrage implicite en faveur de la maîtrise narrative au détriment de l’exigence d’information : communications correctives successives, imprécisions sur le nombre de personnes concernées, externalisation narrative des causes vers des partenaires non identifiés. La capacité de l’organisme à assumer son rôle de responsable de traitement au sens du RGPD s’en trouve affaiblie, avec des conséquences directes sur l’effectivité de l’article 34 du règlement.

L’incident France Travail est, à bien des égards, le cas d’école de cette séquence. Le 8 mars 2024, l’opérateur anciennement Pôle Emploi et la structure partenaire Cap Emploi ont informé la CNIL avoir été victimes d’une intrusion dans leurs systèmes d’information. L’extraction potentielle concernait les données personnelles de quarante-trois millions d’usagers, recouvrant les personnes actuellement inscrites sur la liste des demandeurs d’emploi, celles qui l’ont été au cours des vingt dernières années, et celles disposant d’un espace candidat sur le site francetravail.fr. Les données exfiltrées incluaient noms et prénoms, dates de naissance, numéros de sécurité sociale, identifiants France Travail, adresses mail et postales, numéros de téléphone — sans mots de passe ni coordonnées bancaires. Le mode opératoire mêle ingénierie sociale et usurpation de comptes : les attaquants sont parvenus à manipuler des interlocuteurs pour usurper les comptes de conseillers de Cap Emploi, structures partenaires chargées notamment de l’accompagnement des personnes en situation de handicap, et ont ensuite exploité ces accès légitimes pour extraire massivement les données. Près de deux ans plus tard, le 22 janvier 2026, la formation restreinte de la CNIL a prononcé contre France Travail une amende de cinq millions d’euros, assortie d’injonctions de mise en conformité portant notamment sur les mécanismes d’authentification, de contrôle des accès et de surveillance du système d’information. Le bilan final de la fuite a été arrêté à 36,8 millions de personnes concernées — chiffre légèrement inférieur au périmètre initial mais qui reste d’une ampleur sans précédent dans le secteur public français.

Le raisonnement de la CNIL dans cette délibération constitue un apport doctrinal important. L’autorité reconnaît qu’il n’est pas possible de se prémunir contre l’ensemble des attaques reposant sur l’ingénierie sociale, mais souligne que cette réalité n’exonère en rien le responsable de traitement de mettre en place des mesures adaptées à l’état de l’art. Elle relève notamment que plusieurs failles identifiées existaient indépendamment du mode opératoire des attaquants, et que des mesures complémentaires promises dans les analyses d’impact n’ont jamais été mises en œuvre plusieurs années après leur validation. Ce point est essentiel : il ne suffit pas qu’une cyberattaque soit sophistiquée ou qu’elle exploite des faiblesses humaines pour que le responsable de traitement s’en trouve déchargé. Dès lors qu’il existe, par ailleurs, des failles structurelles identifiées et non corrigées dans le temps, la responsabilité est engagée.

Entre le 21 janvier et le 4 février 2024, deux opérateurs de tiers payant — Viamedis, filiale des groupes Malakoff Humanis et Vyv, et Almerys, spécialiste des hautes technologies appliquées à l’assurance et à la santé — ont été victimes de cyberattaques à cinq jours d’intervalle. La CNIL a estimé le 7 février 2024 que trente-trois millions d’assurés sociaux étaient concernés, soit un Français sur deux. Les données compromises incluaient l’état civil, la date de naissance, le numéro de sécurité sociale, le nom de l’assureur santé et les garanties du contrat souscrit. L’attaque a été rendue possible par l’usurpation d’identifiants et de mots de passe de professionnels de santé. Ce vecteur — le détournement de comptes légitimes d’utilisateurs professionnels habilités — se retrouve dans la quasi-totalité des incidents analysés dans cette note. Il dénote, de la part des responsables de traitement, une sous-évaluation chronique du risque associé à la chaîne d’accès des tiers (professionnels de santé, agents de sous-traitants, partenaires), par contraste avec la concentration des investissements sur la sécurité périmétrique des systèmes centraux.

La cartographie qui précède permet de dégager plusieurs schémas structurels qui se retrouvent, à des degrés divers, dans la quasi-totalité des incidents. Ces schémas ne sont pas le produit du hasard ni celui d’une sophistication particulière des attaquants : ils révèlent des défaillances techniques, organisationnelles et doctrinales qui traversent l’ensemble de l’écosystème public.

Le premier schéma, le plus frappant, est la concentration des défaillances sur la couche des sous-traitants et des partenaires. France Travail a été compromis par l’usurpation de comptes de conseillers Cap Emploi ; l’URSSAF par les identifiants d’un partenaire officiel disposant d’un accès à l’API DPAE ; l’Ofii par un opérateur du contrat d’intégration républicaine ; Viamedis et Almerys par des identifiants de professionnels de santé. Dans tous ces cas, le responsable de traitement principal n’a pas été piraté au sens technique classique du terme. Ses serveurs n’ont pas été pénétrés par une exploitation de vulnérabilité logicielle. Des acteurs tiers — partenaires, sous-traitants, professionnels habilités — se sont vu dérober leurs identifiants dans des contextes périphériques, et ces identifiants légitimes ont ensuite été utilisés pour accéder aux ressources centrales. Juridiquement, cette réalité opérationnelle rencontre l’article 28 du RGPD, qui impose au responsable de traitement un devoir de sélection et de contrôle de ses sous-traitants. La CNIL avait explicité cette exigence dès 2017, dans sa délibération sanctionnant Hertz France à hauteur de quarante mille euros pour négligence dans la surveillance des actions de son sous-traitant — l’autorité relevait alors que Hertz n’avait imposé aucun cahier des charges à son prestataire dans le cadre de sa mission de développement du site qui avait fait l’objet de la faille. Le raisonnement s’applique aux opérateurs publics : le devoir de vigilance sur la chaîne d’accès s’étend aux comptes de partenaires, aux API tierces, aux interfaces techniques dont la compromission permet l’accès aux bases centrales. La CNIL a constaté dans son bilan 2024 qu’une part significative des incidents impliquait un sous-traitant ; les organismes publics ne font pas exception, ils constituent même, par la densité et la criticité de leurs sous-traitances, un point de fragilité particulier.

Le deuxième schéma concerne la nature même des défaillances techniques exploitées. L’examen des incidents ne révèle pas l’utilisation de vulnérabilités inédites ou de techniques d’attaque avancées. Il révèle au contraire la persistance de négligences élémentaires, universellement identifiées dans la littérature de cybersécurité depuis au moins deux décennies. Des mots de passe inscrits en clair dans des courriels — l’attaque contre le ministère de l’Intérieur a été rendue possible par la simple recherche de termes comme « mot de passe » ou « identifiant » dans une boîte de messagerie de la police nationale. L’absence d’authentification multifacteur — l’URSSAF a annoncé la généralisation de la double authentification pour les accès partenaires à la suite de l’incident de janvier 2026, révélant ainsi son absence antérieure. L’absence de détection des extractions massives — dans plusieurs cas, les attaquants ont exfiltré des volumes extrêmement importants sans déclencher d’alerte, le responsable ne découvrant l’incident qu’à la mise en vente des données sur le dark web, parfois plusieurs mois après l’intrusion. La persistance de comptes obsolètes — le ministère de l’Intérieur a indiqué avoir supprimé un millier de comptes obsolètes après l’incident de décembre 2025. Ces défaillances ne relèvent pas d’une fatalité technique. Elles traduisent un sous-investissement chronique et un déficit de culture de sécurité dans des organismes qui, pourtant, traitent parmi les données les plus sensibles de la nation. La CNIL elle-même a explicité ce diagnostic dans son bilan 2024 : l’analyse des différentes phases des violations révèle qu’une succession de défauts de sécurité courants ont permis à l’attaquant de passer d’une étape à la suivante, et la seule application des bonnes pratiques pourrait donc limiter fortement les fuites.

Un troisième schéma, plus diffus mais également préoccupant, concerne la communication institutionnelle autour des incidents. On observe, dans plusieurs cas, un décalage marqué entre le calendrier de détection par les organismes, celui de l’information aux personnes concernées et celui de la communication publique. Pour Cegedim, près de quatre mois entre la détection et l’information du public. Pour la CAF en février 2024, une séquence de corrections successives partant d’un démenti initial d’absence de faille jusqu’à la reconnaissance, deux semaines plus tard, de « plusieurs milliers de comptes » compromis. Pour la CAF en décembre 2025, un positionnement persistant de l’organisme selon lequel aucune cyberattaque n’a affecté ses systèmes alors que vingt-deux millions de lignes attribuées à la Caisse circulaient sur un forum. L’article 34 du RGPD impose pourtant une information claire et rapide des personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé. Le règlement n’autorise aucun délai pour examen, validation hiérarchique ou cadrage communicationnel. Les pratiques observées traduisent un arbitrage implicite en faveur de la maîtrise narrative au détriment de l’exigence d’information — arbitrage qui serait sanctionnable s’il faisait l’objet d’un contrôle systématique de la CNIL, mais que l’ampleur des incidents et la lenteur des procédures rendent en pratique difficile à poursuivre.

Un quatrième schéma, qui n’apparaît pas dans l’examen individuel des incidents mais résulte de leur agrégation, est le recouvrement massif des populations concernées. La quasi-totalité des Français majeurs, selon les volumes cumulés des fuites de 2024-2026, figure dans au moins l’une des bases exfiltrées. Souvent dans plusieurs. Les données sont par définition agrégeables : un numéro de sécurité sociale obtenu via Viamedis et Almerys peut être croisé avec une adresse obtenue via la CAF, un numéro de téléphone obtenu via France Travail, une date d’embauche obtenue via l’URSSAF. Le résultat est la constitution, sur des forums cybercriminels, de profils reconstitués extrêmement précis de dizaines de millions de citoyens. Cette convergence ne relève plus des responsabilités individuelles des différents organismes : elle est le produit systémique de l’ensemble des défaillances. Aucun responsable de traitement unique ne peut en porter la responsabilité, et pourtant aucun ne peut s’en exonérer, puisque chaque incident marginal contribue à l’édifice global de données accessibles aux attaquants. Cette dimension collective est structurellement ignorée par le droit actuel, qui raisonne incident par incident et responsable par responsable.

Le Règlement général sur la protection des données ne ménage pas de statut dérogatoire pour les autorités publiques lorsqu’il s’agit d’obligations de sécurité et de traitement des données. L’article 4, paragraphe 7, définit le responsable de traitement comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. France Travail, l’URSSAF, la CNAF, le ministère de l’Intérieur, l’Ofii relèvent chacun, pour les traitements qu’ils mettent en œuvre, de cette qualification. L’article 32 leur impose de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, en tenant compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement. Cette obligation n’est pas une obligation de résultat — un responsable peut avoir été victime d’une violation tout en ayant respecté ses obligations — mais elle établit un standard objectif de diligence, dont la CNIL puis le juge apprécient le respect au cas par cas. Les articles 33 et 34 imposent quant à eux la notification de la violation à l’autorité de contrôle dans un délai de soixante-douze heures, et l’information des personnes concernées dans les meilleurs délais lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Ces obligations s’appliquent avec la même force à l’État qu’aux opérateurs privés.

Le règlement introduit néanmoins une spécificité notable pour les autorités publiques en matière de sanction administrative. L’article 83, paragraphe 7, dispose que chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire. La France, dans sa loi Informatique et Libertés modifiée, a choisi de maintenir la possibilité de sanctionner financièrement les personnes publiques — comme l’illustre l’amende de cinq millions d’euros prononcée contre France Travail. Cette option française se distingue de celle retenue par plusieurs autres États membres, qui ont opté pour une immunité financière totale ou partielle des autorités publiques. Le choix français apparaît, en principe, comme plus protecteur des droits des personnes concernées. Il soulève cependant des questions d’effectivité lorsque la sanction publique est infligée à un opérateur lui-même financé par des ressources publiques — nous y reviendrons.

L’article 79 du règlement mérite une attention particulière. Il prévoit que chaque personne concernée a droit à un recours juridictionnel effectif, qui peut être intenté devant les juridictions de l’État membre dans lequel le responsable de traitement dispose d’un établissement, ou devant celles de l’État membre de résidence de la personne concernée. Le règlement introduit cependant une dérogation majeure : l’action ne peut être intentée dans l’État de résidence de la personne concernée si le responsable de traitement est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique. Cette limitation apparemment technique produit des effets considérables. Elle contraint les citoyens victimes de fuites dans la sphère publique à saisir le juge compétent au siège du responsable de traitement, généralement parisien, et non la juridiction de proximité qu’ils pourraient saisir dans le cadre d’une action contre un acteur privé. L’accès concret au droit s’en trouve significativement réduit. En droit français, l’action en indemnisation contre l’État ou l’un de ses opérateurs ne relève par ailleurs pas du juge judiciaire mais du juge administratif, selon les principes classiques de la séparation des autorités. La responsabilité est recherchée sur le fondement de la faute de service, théorisée depuis la jurisprudence Blanco de 1873 et articulée avec les spécificités du RGPD.

La jurisprudence administrative en matière de violation du secret professionnel et de fuite de données, bien que peu volumineuse, fournit des principes directeurs utiles. Dans un arrêt de la Cour administrative d’appel de Nantes du 15 octobre 2009 (Gadouche), le juge a retenu la responsabilité d’un établissement hospitalier pour n’avoir pas su protéger la fiche médicale d’un patient : la possibilité laissée par l’établissement hospitalier, aux personnes étrangères au service, d’accéder aisément à des documents médicaux couverts par le secret médical étant constitutive d’un défaut d’organisation du service engageant la responsabilité de l’établissement. Ce raisonnement est transposable aux fuites de données contemporaines : ce n’est pas tant la faute individuelle d’un agent qui est recherchée que le défaut d’organisation du service, la carence dans la mise en place de mesures techniques et organisationnelles appropriées. Le Conseil d’État a également reconnu, dans sa jurisprudence sur l’aide sociale à l’enfance, une présomption de faute lorsque les circonstances exactes de la divulgation du secret demeurent inconnues ou incertaines. Cette construction jurisprudentielle, articulée avec les obligations de sécurité de l’article 32 du RGPD, permet en théorie à la victime d’une fuite de données publiques de voir sa charge de preuve allégée : il lui suffit d’établir l’existence de la violation et le préjudice subi, sans avoir à démontrer précisément la chaîne causale. Le défaut d’organisation du service, dans un contexte où les mesures de sécurité requises n’ont pas été mises en œuvre, peut être présumé.

L’article 82, paragraphe 1, du RGPD prévoit que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. Ce dispositif a été présenté, lors de l’adoption du règlement, comme une avancée majeure du droit européen en matière de protection des données — en complément du régime des sanctions administratives prononcées par les autorités de contrôle. Le considérant 146 précise que la notion de dommage devrait être interprétée au sens large à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs du règlement, et que la réparation doit être complète et effective. La Cour de justice a progressivement précisé la portée de ces principes à travers une série d’arrêts rendus entre 2023 et 2024 qui cadrent, parfois restrictivement, le droit à réparation.

Un premier jalon a été posé par l’arrêt du 4 mai 2023 (C-300/21), par lequel la Cour a jugé qu’une simple violation du RGPD ne confère pas, en soi, un droit à réparation : il faut démontrer un dommage matériel ou moral effectif et un lien de causalité avec la violation. L’arrêt du 14 décembre 2023 (C-340/21) a ensuite admis que la crainte d’un potentiel usage abusif des données par un tiers peut constituer à elle seule un dommage moral susceptible de réparation — ouvrant ainsi la voie à une appréciation plus large du préjudice. Cette ouverture a toutefois été encadrée par l’arrêt du 25 janvier 2024 (C-687/21), dans lequel la Cour a précisé que le risque doit être réel et non purement hypothétique. Lorsque, par exemple, un document contenant des données personnelles a été remis à un tiers non autorisé dont il est établi qu’il n’en a pas pris connaissance, la simple crainte que ce tiers ait réalisé une copie susceptible d’être diffusée dans le futur ne constitue pas un dommage moral au sens de l’article 82.

La jurisprudence européenne a également précisé plusieurs points structurels importants. Un seuil minimal de gravité ne peut pas être imposé comme condition du droit à réparation, mais la simple violation du règlement ne suffit pas à ouvrir ce droit. Le droit à réparation revêt une fonction compensatoire, non punitive : la fonction de sanction demeure l’apanage des autorités de contrôle. Le responsable de traitement peut s’exonérer de sa responsabilité en prouvant que le fait qui a provoqué le dommage ne lui est nullement imputable ; dans le cas d’une cyberattaque, cette imputabilité peut être écartée sauf s’il est démontré que le responsable a rendu possible la violation en méconnaissant une obligation du règlement, notamment l’obligation de protection. Ces précisions jurisprudentielles, prises ensemble, dessinent un régime dans lequel l’indemnisation individuelle reste possible mais conditionnée à une démonstration exigeante du préjudice, de l’imputabilité et de la diligence insuffisante du responsable de traitement. Elles font reposer sur la victime individuelle la charge d’une procédure complexe et d’une expertise juridique et technique qui dépasse largement les moyens ordinaires.

À côté du recours individuel, le droit français a ouvert la voie de l’action de groupe. La loi de modernisation de la justice du XXIe siècle du 18 novembre 2016 avait initialement introduit cette possibilité en matière de protection des données, mais uniquement aux fins de cessation du manquement, sans possibilité d’indemnisation. Cette limitation a été levée par un amendement porté par le Conseil national des barreaux lors de la transposition du RGPD en 2018 : l’article 37 de la loi Informatique et Libertés prévoit désormais que l’action de groupe peut être engagée pour faire cesser les manquements et pour obtenir l’indemnisation des préjudices subis. L’action peut être intentée par les associations agréées de défense des consommateurs représentatives au niveau national, par les associations régulièrement déclarées depuis au moins cinq ans dont l’objet statutaire comporte la protection de la vie privée et des données à caractère personnel, et par les syndicats de salariés lorsque le traitement concerne des données de salariés.

En dépit de ce dispositif juridique, l’effectivité pratique des actions de groupe en matière de données personnelles reste extrêmement limitée. Les commentateurs spécialisés relèvent qu’il y a eu à ce jour très peu d’actions de groupe réellement menées à leur terme, et que l’on ne sait pas encore très bien ce que cette voie peut donner concrètement. Dans le cas de France Travail, l’ampleur même de la fuite — 36,8 millions de personnes — rendrait de toute façon une indemnisation individuelle nécessairement faible : un éventuel dédommagement de plusieurs millions d’euros, réparti entre des dizaines de millions de victimes, aboutirait à des montants individuels de l’ordre de quelques centimes ou euros, manifestement non dissuasifs. Ce paradoxe — plus la fuite est massive, plus l’indemnisation individuelle est faible — traduit une inadéquation structurelle du dispositif de l’article 82 aux violations de très grande ampleur caractéristiques de la séquence 2024-2026. Le droit européen des données a été conçu dans une logique d’indemnisation individualisée, héritée du droit de la consommation, qui atteint ses limites lorsque le nombre de victimes se compte en dizaines de millions.

La sanction de France Travail par la CNIL le 22 janvier 2026 illustre un paradoxe qui traverse l’ensemble du régime français de répression administrative appliqué à la sphère publique. France Travail, établissement public administratif créé par la loi pour le plein emploi du 18 décembre 2023, est intégralement financé par des ressources publiques — principalement des contributions de l’UNEDIC et des crédits budgétaires de l’État. La CNIL, autorité administrative indépendante, est elle-même un opérateur public dont le budget provient de dotations de l’État. L’amende de cinq millions d’euros prononcée contre France Travail sera ainsi payée par un opérateur public au Trésor public, qui finance par ailleurs cet opérateur. Cette circulation interne de crédits publics a été relevée immédiatement par les commentateurs et les lecteurs : établissement public qui paie avec l’argent public une amende à l’État, lequel le finance avec le même argent public. La remarque, formulée sur un ton parfois polémique, touche un point doctrinal structurant — quelle est la fonction effective d’une sanction administrative lorsque le sanctionné et le sanctionnant relèvent du même agrégat financier ?

Trois lectures de ce paradoxe sont défendables. La première est symbolique. La sanction ne vise pas, dans ce cas, à produire un effet financier dissuasif par l’atteinte au patrimoine du responsable, mais à établir publiquement l’existence d’un manquement, sa gravité et à légitimer les injonctions de mise en conformité qui accompagnent la décision. Dans la délibération France Travail, l’amende est assortie d’injonctions précises portant sur les mécanismes d’authentification, de contrôle des accès et de surveillance du système d’information. Ces injonctions, et non l’amende, produisent l’effet concret : elles contraignent l’opérateur public à redéployer ses ressources vers la sécurisation. La sanction financière, dans cette lecture, est un support formel du dispositif correctif.

La deuxième lecture relève de la redevabilité. La sanction affirme que les opérateurs publics ne jouissent d’aucune immunité en matière de protection des données et que leur responsabilité est engagée au même titre que celle des acteurs privés. Elle vise à éviter la constitution d’un double régime — sévère pour les entreprises, indulgent pour les administrations — qui serait à la fois juridiquement injustifiable et politiquement intenable. Dans cette lecture, la circularité financière est un inconvénient accepté au nom de l’égalité de traitement.

La troisième lecture est plus critique. La sanction révèle, au contraire, l’inadéquation d’un cadre juridique initialement conçu pour réguler des acteurs économiques privés, transposé sans véritable réflexion à des opérateurs publics. L’amende de cinq millions d’euros, pour un organisme dont le budget dépasse largement les cinq milliards d’euros, représente une fraction marginale, et sa circulation interne au budget de l’État ne produit aucun effet économique réel. Le dispositif devient un trompe-l’œil qui donne l’apparence d’une sanction sans en avoir la substance, et qui détourne l’attention des mesures structurelles nécessaires — notamment l’obligation de sécurité et les mécanismes d’indemnisation des victimes. Une voie médiane, encore peu explorée en France, consisterait à articuler la sanction de l’organisme public à une éventuelle mise en cause personnelle des dirigeants responsables. L’article 226-17 du Code pénal sanctionne déjà le fait de procéder à un traitement de données personnelles sans mettre en œuvre les mesures de protection requises par le RGPD ; l’infraction est punie de cinq ans d’emprisonnement et trois cent mille euros d’amende. Dans la pratique, les poursuites pénales contre des dirigeants d’organismes publics pour défaut de sécurité sont rarissimes. Une politique plus offensive de responsabilisation individuelle, ciblée sur les manquements manifestes et répétés, produirait en théorie un effet dissuasif plus substantiel que la sanction financière de l’organisme. Elle supposerait cependant un changement doctrinal significatif dans l’approche française de la responsabilité administrative.

La séquence 2024-2026 documentée dans cette note n’est pas seulement une succession d’incidents techniques. Elle signale un basculement plus profond dans la relation entre l’État numérique et ses usagers. Pendant la phase initiale de la numérisation de l’État, qui s’étend grossièrement des années 2000 aux années 2015, le citoyen français a progressivement confié à l’administration un volume croissant de données personnelles : déclarations fiscales en ligne, espace personnel sur les sites des caisses de sécurité sociale, dossiers numérisés à Pôle Emploi, consultations en ligne de dossiers médicaux. Cette délégation s’est faite dans un régime de confiance implicite : l’État était présumé capable de protéger les données qui lui étaient confiées, en vertu même de la mission de service public qu’il exerçait. La séquence 2024-2026 met fin à ce régime de confiance tacite. Les citoyens apprennent, au rythme des annonces hebdomadaires, que leurs données — celles qu’ils ne pouvaient matériellement pas refuser de transmettre — circulent désormais sur des forums cybercriminels. Cette exposition, en elle-même, ne crée pas un préjudice immédiat ; mais elle rompt le pacte implicite qui sous-tendait l’acceptation de la numérisation publique. La défiance qui en résulte n’est pas du ressort de la seule technique : elle touche à la légitimité même de la collecte des données par l’État.

Dans l’économie privée, l’utilisateur dont les données sont compromises par un acteur défaillant conserve la possibilité, au moins formelle, de changer de prestataire, de diversifier ses comptes, de minimiser son exposition future. Cette faculté est le fondement même du régime de responsabilité conçu par le RGPD : la sanction financière et la réparation visent à corriger les asymétries d’information entre fournisseur et consommateur, à permettre au marché de pénaliser les acteurs défaillants au profit des acteurs vertueux. Dans la sphère publique, cette logique s’effondre. Un citoyen français ne peut pas changer de CAF si celle-ci gère mal ses données. Il ne peut pas refuser de transmettre son numéro de sécurité sociale à France Travail pour bénéficier d’une allocation de chômage. Il ne peut pas s’opposer à l’inscription de son identité dans le fichier TAJ s’il a été entendu comme témoin ou mis en cause dans une procédure judiciaire. La collecte publique de données est, dans l’immense majorité des cas, obligatoire — soit par l’effet direct de la loi, soit par l’effet indirect de la nécessité d’accéder à un droit ou à un service.

Cette absence de choix produit deux conséquences juridiques et politiques qui ne sont pas suffisamment explorées dans le débat public. D’abord, elle aggrave juridiquement le préjudice subi par la victime d’une fuite publique. Un citoyen dont les données sont compromises par son fournisseur d’accès internet peut changer d’opérateur pour minimiser son exposition future ; celui dont les données ont fuité de France Travail n’a aucune échappatoire équivalente. Le préjudice moral — et notamment la perte de contrôle sur les données, reconnue comme réparable par la Cour de justice — est structurellement plus grave dans le second cas. Ensuite, elle impose une exigence de sécurité plus élevée sur les opérateurs publics que sur les opérateurs privés, et non l’inverse. Le standard de l’article 32 du RGPD — mesures adaptées à l’état de l’art — devrait être interprété à la lumière de cette asymétrie : lorsqu’un responsable de traitement bénéficie d’une position de monopole ou de quasi-monopole imposée par la loi, sa diligence de sécurité devrait être proportionnée à l’absence d’alternative offerte aux personnes concernées. Ce raisonnement, rarement développé en jurisprudence, pourrait constituer un axe doctrinal utile pour renforcer les obligations pesant sur les opérateurs publics.

La séquence 2024-2026 révèle également la dépendance massive de l’État français à l’égard d’acteurs privés pour la gestion de ses données. L’attaque contre Cegedim, hors sphère publique stricto sensu, a compromis quinze millions de dossiers médicaux alimentés par le système d’assurance maladie obligatoire. L’attaque contre Viamedis et Almerys a compromis trente-trois millions de dossiers de tiers payant. L’attaque contre l’Ofii est passée par un opérateur privé chargé des cours de langue du contrat d’intégration républicaine. Dans chacun de ces cas, la sécurité des données confiées obligatoirement à l’État par le citoyen dépend, en dernière analyse, de la diligence d’une chaîne de prestataires privés — dont la solidité est aujourd’hui démontrée comme inégale. Cette dépendance soulève une question de souveraineté numérique que l’État a commencé à aborder, notamment à travers les programmes Care et Ségur numérique dans le secteur de la santé, et plus récemment à travers la décision annoncée de retirer Microsoft des systèmes critiques de l’État. Ces initiatives restent toutefois parcellaires et peu coordonnées. Une doctrine d’État unifiée sur la localisation, la maîtrise et la sécurisation des chaînes de sous-traitance des données publiques fait encore défaut.

Plusieurs axes de renouvellement doctrinal peuvent être esquissés. Le standard actuel de l’article 32 — obligation de moyens adaptée à l’état de l’art — pourrait être complété, pour les opérateurs publics manipulant les données de populations entières, par une obligation de résultat portant sur certains dispositifs techniques minimaux : authentification multifacteur obligatoire, journalisation systématique, détection des extractions massives, chiffrement au repos des données sensibles. L’absence de ces dispositifs constituerait, en soi, un manquement à l’article 32, sans nécessité d’une démonstration au cas par cas. Pour les violations dépassant un certain seuil — par exemple un million de personnes concernées —, un mécanisme d’indemnisation collective pourrait être mis en place, alimenté par un prélèvement forfaitaire sur le budget du responsable de traitement défaillant, et redistribué aux victimes sous forme de droits identifiables : accompagnement juridique, surveillance de crédit, accès à des services de sécurité renforcée. Ce dispositif contournerait le paradoxe de la dilution individuelle et matérialiserait la reconnaissance du préjudice collectif. L’article 28 du règlement impose un contrat écrit entre le responsable de traitement et son sous-traitant, mais n’exige pas la publication de la liste des sous-traitants ; pour les opérateurs publics, une obligation de publication pourrait être introduite, permettant aux citoyens de connaître la chaîne effective de circulation de leurs données. La dérogation de l’article 79 — qui interdit aux personnes concernées par une fuite publique de saisir le juge de leur résidence — pourrait être réexaminée dans le cadre d’une initiative française au sein de l’Union. Le maintien de cette dérogation, conçu pour préserver les prérogatives de puissance publique des États membres, se retourne en pratique contre les citoyens victimes de défaillances de leur propre État.

Les fuites de données publiques documentées dans cette note ne sont pas seulement des problèmes techniques, ni seulement des questions juridiques. Elles engagent une dimension proprement politique de la relation entre l’État et le citoyen à l’âge numérique. La donnée transmise obligatoirement à l’administration n’est pas une information anodine : elle constitue une trace de la vie du citoyen — de sa santé, de son travail, de sa situation familiale, de ses démêlés avec la justice. La protection effective de cette trace fait partie intégrante du contrat social implicite qui lie le citoyen à l’État. La séquence 2024-2026 a, en de multiples points, rompu ce contrat. Sa reconstitution ne relèvera ni des seules corrections techniques, ni des seules évolutions juridiques. Elle suppose un réinvestissement doctrinal, politique et budgétaire dans la sécurité des données publiques, à hauteur de ce qu’exige leur caractère structurellement irremplaçable. À défaut, la défiance accumulée risque de ralentir durablement la numérisation des services publics et de miner la légitimité des institutions qui en bénéficient.