Fuites de données de l'État : modèle gratuit de plainte au procureur (art. 226-17 du Code pénal)

L’essentiel — Si vous figurez parmi les usagers concernés par les incidents de sécurité ayant affecté France Travail, l’ANTS, ÉduConnect ou la CAF entre 2024 et 2026, vous disposez d’une voie de recours individuel : la plainte simple au procureur de la République sur le fondement de l’article 226-17 du Code pénal. Gratuite, sans avocat, par lettre recommandée. Cet article vous fournit un modèle prêt à l’emploi. L’article 226-17 réprime de cinq ans d’emprisonnement et 300 000 € d’amende — montant porté à 1,5 M€ pour les personnes morales — le fait de procéder à un traitement de données sans mettre en œuvre les mesures de sécurité prescrites par le RGPD.

Une série d’incidents dans la sphère publique

Depuis 2024, plusieurs administrations et opérateurs publics ont été affectés par des incidents de sécurité ayant conduit à l’exfiltration de données personnelles d’usagers. Sources publiques à l’appui :

• France Travail (mars 2024) : 43 millions d’inscrits potentiellement concernés, données incluant le NIR ;
• CAF (août 2024, puis déc. 2025) : 60 000 comptes, puis un fichier de 22 millions de lignes attribué à la sphère CAF ;
• HubEE / DINUM (janv. 2026) : plateforme interministérielle d’échange de pièces justificatives, plusieurs administrations affectées (DGS, Cnaf) ;
• Éducation nationale / ÉduConnect (déc. 2025, rendu public en avril 2026) : 3,5 millions d’élèves selon les éléments publiés ;
• ANTS (avril 2026) : 18 à 19 millions d’enregistrements, vulnérabilité de type IDOR évoquée par les chercheurs ayant analysé l’incident.

Cumulés, ces incidents portent sur plus de 90 millions d’enregistrements administratifs personnels — dont une part significative concerne directement la majorité des Français adultes, à un titre ou à un autre.

Élément à signaler s’agissant de l’ANTS : le parquet de Paris a annoncé publiquement qu’un mineur de 15 ans avait été interpellé et placé en garde à vue le 25 avril 2026 dans le cadre de l’enquête sur la mise en vente des données. Cette information, qui émane directement du parquet, est un élément public important : le degré de difficulté de l’exploitation paraît, à première vue, particulièrement faible. Cette circonstance interroge le caractère approprié des mesures de sécurité mises en œuvre, sans que cette plainte ne préjuge des conclusions de l’enquête.

À ce jour, la réaction publique se résume à un courriel d’information aux personnes concernées, un lien vers cybermalveillance.gouv.fr, et un conseil général de vigilance.

Pourquoi la voie CNIL atteint vite ses limites face aux administrations

L’article 20-III de la loi du 6 janvier 1978 plafonne les amendes que la CNIL peut prononcer contre les autorités publiques à 20 millions d’euros. Au-delà de ce plafond, la voie administrative présente trois caractéristiques qui en limitent la portée individuelle pour les usagers :

• Une amende administrative payée par une administration publique n’emporte pas, par elle-même, de mise en cause personnelle des décideurs.
• Les enquêtes peuvent s’étendre sur plusieurs années : l’instruction relative à France Travail est, à la date de cet article, ouverte depuis plus de deux ans sans sanction publiée.
• Les usagers ne sont pas associés à la procédure et n’ont pas de voie d’indemnisation directe.

C’est précisément pour compléter cette voie que le législateur a, dès 1978, prévu un délit pénal dédié à la défaillance des mesures de sécurité. Cet outil est largement sous-utilisé par les particuliers. Voici comment il s’active.

L’article 226-17 du Code pénal — le levier oublié

L’article 226-17 du Code pénal punit de 5 ans d’emprisonnement et 300 000 € d’amende le fait, pour un responsable de traitement, de procéder à un traitement de données personnelles sans avoir mis en œuvre les mesures de sécurité prescrites par le RGPD (articles 24, 25, 30 et 32 du règlement (UE) 2016/679).

Trois leviers spécifiques au contexte étatique :

1. Les EPA sont pénalement responsables

L’article 121-2 du Code pénal exclut uniquement la personne morale « État » de la responsabilité pénale. Mais cette exclusion ne couvre pas :

• les établissements publics administratifs (ANTS, France Travail, etc.) ;
• les organismes de droit privé chargés d’une mission de service public (CAF / Cnaf, caisses de Sécurité sociale).

Pour ces entités, l’amende encourue est portée au quintuple par l’article 131-38 du Code pénal, soit 1,5 million d’euros, et la condamnation pénale produit un effet politique considérable.

2. Les personnes physiques restent susceptibles d’être poursuivies

Y compris dans le cas des administrations centrales (ministères, DINUM) qui échappent à la responsabilité pénale comme personnes morales : les personnes physiques ayant pris ou omis de prendre les décisions relatives à la sécurité du dispositif demeurent susceptibles d’être poursuivies à titre individuel sous l’article 226-17. La plainte n’a pas à les nommer — c’est l’enquête qui les identifie le cas échéant.

3. Le procureur doit traiter la plainte

L’article 40-2 du Code de procédure pénale impose au procureur de vous aviser de la suite donnée dans un délai indicatif de 3 mois. Au-delà — ou en cas de classement sans suite — vous pouvez vous constituer partie civile devant le doyen des juges d’instruction (art. 85 CPP), forçant l’ouverture d’une instruction.

Si mille plaintes affluent sur le même dossier, le parquet ne peut pas systématiquement classer.

Voie pénale ou voie CNIL : pourquoi c’est différent

Qui peut porter plainte ?

Toute personne dont les données ont été exfiltrées par une administration ou un opérateur public, dès lors qu’elle peut établir :

1. Sa qualité d’usager (inscrit, allocataire, parent d’élève, titulaire d’un compte) — une notification, une facture, un courrier de l’organisme suffisent ;
2. Le fait de la fuite — communiqué officiel, article de presse, ou notification CNIL ;
3. Une carence dans les mesures de sécurité — l’ampleur de la fuite et la nature des données exfiltrées suffisent à fonder une présomption sérieuse, à charge pour l’enquête de la confirmer.

Vous n’avez pas besoin :

• de prouver un préjudice financier déjà réalisé (le préjudice moral suffit) ;
• d’avoir reçu un courriel personnel de l’administration (le constat médiatique de la fuite suffit) ;
• de faire appel à un avocat pour la plainte simple.

Le modèle standard — version copiable

Comment l’utiliser

1. Copiez le texte ci-dessous dans un traitement de texte.
2. Remplacez les 4 champs entre [CROCHETS] par vos informations (nom, adresse, téléphone, email).
3. Conservez uniquement les paragraphes de la section I correspondant aux services dont vous êtes usager — supprimez les autres.
4. Imprimez, signez, joignez une copie de pièce d’identité, envoyez en lettre recommandée avec AR au procureur de la République de Paris.

[NOM ET PRÉNOM] [ADRESSE COMPLÈTE] [TÉLÉPHONE] — [EMAIL]

[VILLE], le [DATE]

Lettre recommandée avec accusé de réception

Monsieur le Procureur de la République Tribunal judiciaire de Paris Parvis du Tribunal de Paris, 75017 Paris

Objet : Plainte simple — faits susceptibles de constituer le délit prévu et réprimé par l’article 226-17 du Code pénal.

Monsieur le Procureur de la République,

J’ai l’honneur de porter à votre connaissance les faits ci-après, qui me paraissent susceptibles de constituer le délit prévu et réprimé par l’article 226-17 du Code pénal.

I — Faits. Je suis usager des services publics, qui ont fait l’objet, entre 2024 et 2026, d’incidents de sécurité publiquement reconnus ayant conduit à l’exfiltration de mes données personnelles. (Conserver uniquement les paragraphes correspondant aux services dont vous êtes usager.)

[ANTS] — L’Agence nationale des titres sécurisés a publiquement reconnu, en avril 2026, qu’une intrusion dans son portail moncompte.ants.gouv.fr avait conduit à l’exfiltration de données personnelles concernant 18 à 19 millions d’usagers, dont moi-même, en ma qualité de titulaire d’un compte ANTS. Selon les éléments rendus publics par les analystes ayant publié sur l’incident, la vulnérabilité exploitée serait de type IDOR (Insecure Direct Object Reference) — un défaut de contrôle d’accès permettant la consultation des données d’un autre usager par simple modification d’un identifiant dans une requête. Cette description, qu’il appartient à l’enquête de confirmer, paraît correspondre à un défaut d’application des règles élémentaires de l’état de l’art en matière de contrôle d’accès, telles que documentées par l’ANSSI et les recommandations de la CNIL.

[France Travail] — France Travail (anciennement Pôle Emploi) et Cap emploi ont publiquement reconnu, en mars 2024, qu’une intrusion dans leurs systèmes avait conduit à l’exfiltration de données personnelles concernant 43 millions d’inscrits, dont moi-même, en ma qualité d’inscrit. Les données concernées incluraient le numéro de sécurité sociale (NIR), dont le traitement est encadré par l’article 87 du RGPD et le décret n° 2019-341 du 19 avril 2019.

[ÉduConnect] — Le ministère de l’Éducation nationale a publiquement reconnu, en avril 2026, qu’une faille de sécurité du téléservice ÉduConnect, identifiée en décembre 2025, avait été exploitée avant correction et avait conduit à l’exfiltration de données concernant environ 3,5 millions d’élèves, parmi lesquelles mes propres données ou celles d’un enfant pour lequel j’utilise le service. Une part substantielle des personnes concernées étant mineures, le traitement relève également de l’article 8 du RGPD.

[CAF] — La Caisse nationale des allocations familiales (Cnaf) a publiquement reconnu, en décembre 2025, la diffusion d’un fichier d’environ 22 millions de lignes de données personnelles attribuées à la sphère CAF, dont les miennes, en ma qualité d’allocataire. Ces données peuvent inclure le numéro de sécurité sociale (NIR) et des éléments relatifs à la situation sociale.

II — Qualification envisagée. L’article 226-17 du Code pénal punit de cinq ans d’emprisonnement et 300 000 € d’amende le fait de procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites aux articles 24, 25, 30 et 32 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD). Sans préjuger des conclusions de votre enquête, l’ampleur des exfiltrations rapportées — qui concernent des dizaines de millions de personnes — et la nature des données concernées semblent nécessiter un examen approfondi de la conformité des mesures de sécurité effectivement mises en œuvre par les entités précitées au regard des exigences de l’article 32 du RGPD.

En application de l’article 121-2 du Code pénal, la responsabilité pénale est susceptible d’être engagée :

• à l’encontre de l’Agence nationale des titres sécurisés (établissement public administratif sous tutelle du ministère de l’Intérieur), de France Travail (établissement public administratif institué par la loi n° 2023-1196 du 18 décembre 2023), et de la Caisse nationale des allocations familiales (établissement public national à caractère administratif, art. L. 223-2 CSS) — ces trois entités constituant des personnes morales distinctes de l’État au sens de l’alinéa 1ᵉʳ, l’amende encourue étant portée au quintuple par l’article 131-38 du Code pénal, soit 1 500 000 € ;
• s’agissant du téléservice ÉduConnect, opéré directement par le ministère de l’Éducation nationale, la responsabilité pénale de la personne morale est exclue par l’article 121-2 alinéa 1ᵉʳ ; la présente plainte est en conséquence dirigée, pour ce volet, exclusivement contre toute personne physique, organe ou préposé au sens de l’article 121-1 du Code pénal, dont l’enquête établirait la responsabilité personnelle.

La présente plainte est en outre dirigée contre toute personne dont l’enquête établirait la responsabilité personnelle, étant précisé qu’elle ne vise aucune personne physique nommément ou implicitement, l’identification des responsabilités individuelles relevant exclusivement des investigations du parquet et, le cas échéant, du juge d’instruction.

III — Préjudice. Ces exfiltrations m’exposent à un risque sérieux d’hameçonnage ciblé et d’usurpation d’identité, ainsi que, le cas échéant, à un risque de fraude documentaire compte tenu de la divulgation de données telles que le NIR. Je subis en outre un préjudice moral lié à la nécessité constante d’une vigilance. Je me réserve la faculté de chiffrer mon préjudice moral et matériel à un stade ultérieur de la procédure.

IV — Demandes. Je sollicite l’ouverture d’une enquête préliminaire afin de faire constater la conformité ou non aux mesures prescrites par les articles 24, 25, 30 et 32 du RGPD au sein des entités précitées, à la date de chaque incident, d’identifier le cas échéant les responsables, et d’engager le cas échéant des poursuites sur le fondement de l’article 226-17 du Code pénal.

En ma qualité de plaignant au sens de l’article 40-2 du Code de procédure pénale, je sollicite d’être avisé de la suite donnée à la présente plainte, ainsi que des motifs de toute décision de classement sans suite.

Je me réserve expressément la faculté de me constituer partie civile par voie d’action devant le doyen des juges d’instruction sur le fondement des articles 85 et 86 du Code de procédure pénale en cas de classement sans suite ou d’absence de réponse dans le délai de trois mois.

Je vous prie d’agréer, Monsieur le Procureur de la République, l’expression de ma haute considération.

[SIGNATURE] [NOM ET PRÉNOM]

Pièces jointes : (1) copie d’une pièce d’identité ; (2) justificatif de qualité d’usager (facture, courriel d’ouverture de compte, attestation, ou notification de violation reçue de l’organisme).

Pas envie de copier-coller ? Utilisez notre générateur gratuit — vous cochez les services dont vous êtes usager, vous remplissez 4 champs, vous téléchargez le PDF prêt à signer. ➜ Générer ma plainte (gratuit, sans inscription)

Quel tribunal saisir ?

Deux options vous sont ouvertes :

• Le procureur de votre domicile (tribunal judiciaire de votre ville) : compétence territoriale par lieu du préjudice.
• Le procureur de Paris (section J3 / JUNALCO — pôle national de cybercriminalité) : voie la plus efficace pour les dossiers à dimension nationale (ANTS, France Travail, ÉduConnect, CAF).

Adresse du parquet de Paris : Tribunal judiciaire de Paris, Parvis du Tribunal de Paris, 75017 Paris.

Ce qui se passe ensuite

Le procureur dispose d’un délai indicatif de 3 mois pour vous notifier sa décision (art. 40-2 CPP) :

1. Poursuite — il ouvre une enquête, le dossier suit son cours.
2. Classement sans suite — vous pouvez alors vous constituer partie civile devant le doyen des juges d’instruction (art. 85 CPP), ce qui force l’ouverture d’une instruction. Une consignation est demandée (200 à 1 000 €, restituable).
3. Silence au-delà de 3 mois — vous pouvez également vous constituer partie civile.

Conservez précieusement votre AR de lettre recommandée et la copie de la plainte.

L’effet d’échelle : pourquoi votre plainte compte

Plusieurs centaines ou milliers de plaintes individuelles déposées sur un même dossier produisent un effet que la voie isolée ne permet pas :

• elles obligent le parquet à structurer une réponse plutôt qu’à apporter une réponse uniforme ;
• elles documentent l’ampleur du préjudice collectif, utile pour une éventuelle action de groupe RGPD (art. 37 loi 78-17) ;
• elles donnent un cadre matériel à un examen approfondi de la conformité par les autorités compétentes.

Si vous déposez une plainte, vous pouvez en faire état publiquement — auprès de vos proches, des associations de défense des droits, ou sur les réseaux. C’est par l’agrégation que des démarches individuelles deviennent visibles.

Précautions à prendre — éviter le risque de dénonciation calomnieuse

Une plainte qui s’appuierait sur des faits inexacts pourrait, dans certains cas, exposer son auteur aux peines de l’article 226-10 du Code pénal (dénonciation calomnieuse). Ce risque est très limité dès lors que la plainte respecte trois principes simples :

1. N’affirmez que des faits publics, sourcés. Communiqués officiels de l’entité, communications du parquet, délibérations CNIL, articles de presse. Le modèle ci-dessus est rédigé en ce sens : il rapporte des faits publics et demande à l’enquête d’établir la qualification.
2. Ne nommez personne nominativement. La plainte vise l’entité et « toute personne dont l’enquête établirait la responsabilité ». Vous ne désignez aucun individu déterminé. C’est l’autorité judiciaire qui identifie les responsables le cas échéant.
3. Utilisez le conditionnel et la prudence. Tournures recommandées : « il appartient à l’enquête d’établir », « sans préjuger des conclusions », « paraît interroger », « selon les éléments publics rendus disponibles ». Le modèle fourni respecte ces tournures.

À ces conditions, vous exercez simplement votre droit de dénoncer au procureur de la République des faits susceptibles de constituer une infraction (art. 40 al. 2 CPP), sans exposition au risque de dénonciation calomnieuse.

Autres précautions

• Ce modèle est mis à disposition gratuitement par Thiébaut Devergranne, docteur en droit, à titre informatif. Aucune relation client/avocat ne résulte de son utilisation.
• Vérifiez que vous êtes concerné par la fuite avant de déposer plainte (notification reçue, recherche Have I Been Pwned, communiqué officiel mentionnant votre catégorie d’usagers).
• Pour les cas complexes (données sensibles au sens de l’article 9 RGPD, mineurs, préjudice financier avéré), faites-vous accompagner par un avocat spécialisé.

En savoir plus

• Fuite de données : procédure de gestion et notification RGPD
• Sanctions pénales du RGPD
• Article 32 RGPD : sécurité des traitements
• Notification d’une cyberattaque

Cet article a été rédigé par Thiébaut Devergranne, docteur en droit (PhD), 20 ans d’expérience en droit des données personnelles, fondateur de donneespersonnelles.fr et de Legiscope.