300 millions de données françaises vendues pour 350 dollars : le scandale d’une souveraineté numérique en ruine

300 millions de lignes de données françaises. Des noms, des prénoms, des adresses, des mots de passe, des identifiants. Le tout mis en vente sur un forum spécialisé pour la somme dérisoire de 350 dollars. Ce chiffre, à lui seul, dit tout de l’état réel de la protection des données personnelles des Français en 2026.

Ce n’est pas un piratage ciblé, ni une intrusion sophistiquée contre un adversaire unique. C’est une compilation : plus de 200 bases de données différentes, agrégées, reconditionnées, proposées en pack à quiconque dispose d’une carte de crédit et d’une adresse sur le bon forum. Services publics, entreprises privées, plateformes en ligne, organismes divers, la liste des sources serait aussi longue qu’elle est symptomatique d’une vulnérabilité systémique.

70 millions de comptes compromis en France : un pirate vend vos mots de passe sur le dark web ➡️ https://t.co/qBMJCwxUEB pic.twitter.com/0UvW5QJJw4

— 01net (@01net) March 5, 2025

Une banalisation qui doit alarmer

Le prix de 350 dollars n’est pas simplement anecdotique. Il est révélateur. Quand l’identité numérique de millions de citoyens français se négocie au tarif d’un abonnement annuel à un service de streaming, c’est que le marché de la donnée volée a atteint une maturité industrielle. Les hackers ne sont plus des virtuoses solitaires : ils sont les maillons d’une chaîne de valeur organisée, où chaque fuite alimente la suivante et où chaque base compromise finit par enrichir un agrégat encore plus massif.

Il faut insister sur un point que l’on a tendance à minimiser : une fuite de données ne disparaît jamais. Elle circule, est croisée avec d’autres bases et gagne en valeur au fil du temps à mesure que les informations sont recoupées, vérifiées et affinées. Un email et un mot de passe compromis en 2021 peuvent alimenter une tentative de fraude en 2026. L’exposition est permanente, cumulée, et les citoyens qui en sont victimes n’en savent généralement rien.

Les risques concrets sont bien connus mais méritent d’être rappelés : phishing ciblé, usurpation d’identité, fraude bancaire. Avec des données aussi précises, nom, prénom, adresse postale, numéro de téléphone, identifiants, un cybercriminel n’a plus besoin d’improviser. Il dispose d’un profil complet, exploitable immédiatement, personnalisable à volonté pour tromper n’importe quelle victime.

« La question n’est plus « si », mais « quand ». »

Cette formule, aussi simple soit-elle, résume une réalité que les acteurs publics et privés semblent encore peiner à intégrer dans leur logique de fonctionnement. La cybersécurité est trop souvent traitée comme une dépense, un poste budgétaire à comprimer, une contrainte réglementaire à satisfaire sur le papier, plutôt que comme un impératif stratégique de premier ordre.

Des milliards de données personnelles circulent sur le Dark Web, cet Internet clandestin qui sert de marché noir aux pirates et aux escrocs. Un outil gratuit permet de savoir en quelques secondes si les vôtres en font partie. https://t.co/dQUYGCUrG1 pic.twitter.com/8Q4ZOLmzKb

— Comment Ça Marche (@commentcamarche) March 22, 2026

La souveraineté numérique, angle mort de la politique française

Ce qui frappe dans cette affaire, c’est que les données compromises proviendraient aussi bien d’entités privées que de services publics. Si cette information se confirme, elle pose une question qui dépasse le simple registre technique : celle de la souveraineté numérique de l’État français. Quand les données administratives des citoyens finissent en vente sur un forum pour quelques centaines de dollars, c’est la capacité de l’État à protéger ses propres administrés qui est directement en cause.

La France dispose d’un arsenal réglementaire, le RGPD, la CNIL, des obligations de notification des violations, mais la réglementation seule ne suffit pas. Elle peut sanctionner après coup, imposer des amendes, exiger des déclarations. Elle ne reconstruit pas une identité volée, ne rembourse pas une fraude consommée, ne répare pas la confiance perdue d’un citoyen qui apprend que ses données circulaient depuis des mois sur des forums clandestins avant que quiconque l’en informe.

Le véritable enjeu est celui de la culture de sécurité, à tous les niveaux. Les entreprises doivent cesser de traiter la gestion post-fuite comme un problème de communication et commencer à l’appréhender comme un impératif de long terme : surveillance des données exposées, réduction de la surface d’attaque, transparence envers les utilisateurs concernés. Et les pouvoirs publics doivent se donner les moyens d’une véritable politique de cybersécurité nationale, pas seulement des discours lors des forums internationaux, mais des investissements réels, des exigences contraignantes et une capacité de réponse à la hauteur des menaces.

Car derrière les 300 millions de lignes de données, il y a des visages. Des citoyens français qui ont confié leurs informations personnelles à des services dans lesquels ils avaient placé leur confiance. Des personnes qui risquent demain de recevoir un appel téléphonique d’un interlocuteur qui connaît leur adresse, leur date de naissance et le nom de leur banque. Cette compilation n’est peut-être que la partie visible d’un phénomène bien plus vaste, et c’est précisément ce qui devrait conduire les responsables politiques et économiques à sortir de leur torpeur.

350 dollars. Le prix de l’identité numérique de millions de Français. Si ce chiffre ne suffit pas à déclencher une prise de conscience collective, on peut légitimement se demander ce qui le pourra.