Fuite ANTS : plainte contre l'État à la CNIL
Publié le 10/05/2026
11,7 millions de comptes piratés par un adolescent de 15 ans. Ce chiffre, révélé mi-avril 2026, a provoqué un séisme dans les sphères de la protection des données personnelles. L'Agence nationale des titres sécurisés (ANTS), rebaptisée France Titres, gère des informations sensibles liées aux documents d'identité régaliens — passeports, permis de conduire, cartes d'identité. La faille découverte le 15 avril dernier touche donc au cœur même de l'identité numérique des citoyens français.
Une fuite de données d'une ampleur inédite sur des titres régaliens
Rarement une intrusion informatique sur un service public n'avait atteint une telle échelle. Près de 12 millions de comptes individuels compromis : la violation de données de l'ANTS a pour particularité la nature particulièrement sensible des informations exposées. Il ne s'agit pas de simples adresses e-mail ou de numéros de téléphone, mais bien de données liées aux titres d'identité officiels délivrés par l'État.
L'auteur présumé de cette intrusion massive est un mineur de 15 ans. Ce détail, loin d'être anecdotique, soulève une question fondamentale — comment un système aussi stratégique a-t-il pu être rendu vulnérable face à un individu aussi jeune et, par définition, aux ressources techniques limitées ? La robustesse des infrastructures numériques de l'État français se retrouve immédiatement mise en cause.
Pour comprendre l'enjeu, voici les types de documents dont les données sont potentiellement concernées par cette compromission :
- Passeports biométriques
- Permis de conduire
- Cartes nationales d'identité
Ces documents régaliens constituent le socle de l'identité administrative de chaque citoyen. Leur compromission représente un risque direct d'usurpation d'identité, de fraude documentaire ou de détournement de droits administratifs. Le préjudice potentiel pour les usagers concernés est donc loin d'être théorique.
La Ligue des Libertés saisit la CNIL et réclame des indemnités à l'État
Fondée en février 2026, soit seulement quelques semaines avant la découverte de la faille, l'association La Ligue des Libertés a décidé de ne pas laisser cette affaire se résorber dans le silence administratif habituel. Le 8 mai 2026, elle a officiellement déposé une plainte auprès de la CNIL — Commission nationale de l'informatique et des libertés —, le régulateur français chargé de veiller au respect des données personnelles.
La plainte, consultée par La Tribune, qualifie les faits de compromission des données à caractère personnel des usagers. Mais l'association ne s'arrête pas là. Elle a simultanément adressé deux demandes préalables d'indemnisation de 150 000 euros chacune, visant respectivement deux entités distinctes.
| Destinataire | Qualité invoquée | Fondement juridique |
|---|---|---|
| L'ANTS (France Titres) | Responsable de traitement des données | RGPD – responsabilité directe |
| Ministère de l'Intérieur | Coresponsable de traitement | Article 26 et article 9 du règlement (UE) |
Cette double cible est juridiquement précise. L'ANTS constitue un établissement public administratif distinct de l'État, mais le ministère de l'Intérieur exerce la tutelle sur ce service. La Ligue des Libertés pointe donc une carence dans la supervision, au-delà de la élémentaire négligence technique.
Guilhem Carayon, avocat et fondateur de l'association, formule un diagnostic sans ambiguïté : « La défaillance de l'État sur la protection des données et le manquement au RGPD sont manifestes. Il s'agit de l'une des plus notables fuites de données au sein d'un service de l'État sur des titres régaliens. » Carayon est par ailleurs vice-président de l'Union des droites pour la République, le parti d'Éric Ciotti, allié au Rassemblement national. Son conseil scientifique réunit des personnalités de poids : les anciens ministres Noëlle Lenoir, Renaud Dutreil et Pierre Lellouche.
Ce que les citoyens concernés doivent savoir et faire
Être parmi les 11,7 millions d'usagers potentiellement touchés génère une inquiétude légitime. La première démarche recommandée reste de vérifier si vous avez reçu une notification de l'ANTS — obligation légale prévue par l'article 34 du RGPD en cas de violation susceptible d'engendrer un risque élevé pour les personnes.
Le RGPD, entré en application le 25 mai 2018, impose aux responsables de traitement de notifier la CNIL dans les 72 heures suivant la découverte d'une faille. Ce délai court et contraignant vise précisément à protéger les personnes concernées le plus tôt possible. Tout manquement à cette obligation constitue lui-même une infraction sanctionnable, indépendamment de la faille initiale.
Au-delà des recours collectifs portés par des associations comme la Ligue des Libertés, chaque citoyen dispose d'un droit individuel à saisir la CNIL via son formulaire en ligne. Cette démarche, gratuite et accessible, permet d'exercer une pression réglementaire directe sur les organismes défaillants. Elle peut également ouvrir droit à une action en réparation devant les juridictions administratives compétentes.
Cette affaire dépasse le cadre d'un incident technique isolé. Elle interroge la stratégie globale de cybersécurité des services publics numériques français, à l'heure où la dématérialisation administrative s'accélère fortement. La centralisation des données identitaires dans des plateformes uniques crée mécaniquement des cibles de valeur pour les attaquants. Renforcer l'architecture de ces systèmes — segmentation des bases, audits réguliers, tests d'intrusion systématiques — n'est plus une option, mais une exigence citoyenne.