Le contrat numérique entre l’Etat et le citoyen ne doit pas être à sens unique
Après l’annonce d’un plan contre les cyberattaques visant l’Etat, la députée Horizons de Seine-Maritime souligne le manque de protection des victimes d’usurpation d’identité.
Monsieur D., retraité de Seine-Maritime, voit chaque mois sa pension saisie. Depuis 2019, des escrocs ont enregistré une société fictive à son nom et accumulé des milliers de procès-verbaux. Il possède sa carte d’identité, a déposé plainte et écrit à toutes les administrations. Chaque mois, l’Etat continue de le ponctionner pour des infractions qu’il n’a pas commises. Ce cas préfigure ce qui pourrait attendre une partie des millions de Français dont les données ont été dérobées ces dernières semaines dans les fichiers les plus sensibles de l’Etat.
En quatre mois, quatre attaques majeures ont visé des infrastructures détenant des données personnelles : le fichier des comptes bancaires, en janvier (1,2 million de comptes exposés) ; Cegedim Santé, en février (15 millions de patients concernés) ; EduConnect, le 12 avril (3,5 millions d’élèves mineurs touchés), et France Titres (anciennement l’Agence nationale des titres sécurisés), trois jours plus tard (11,7 millions de comptes compromis). Le premier ministre, Sébastien Lecornu, reconnaît un rythme de trois vols de données par jour depuis le début de l’année 2026, et la feuille de route de l’Agence nationale de la sécurité des systèmes d’information, publiée le 9 avril, admet la « persistance de vulnérabilités graves » dans nos infrastructures.
Le chef du gouvernement a tiré les conséquences de cette série noire. Le 30 avril, il a annoncé la fusion des deux directions du numérique de l’Etat, le déblocage de 200 millions d’euros par le biais du programme d’investissements France 2030, et un plancher de 5 % des budgets numériques ministériels consacré à la cybersécurité à partir de 2027. Ces annonces constituent une avancée. Elles reconnaissent une dette numérique trop longtemps ignorée et méritent d’être saluées.
Cependant, ce plan a un angle mort. Il finance la prévention des prochaines attaques, mais ne dit rien des citoyens dont les données ont déjà été subtilisées et qui vont vivre, parfois pendant des années, l’engrenage administratif de l’usurpation d’identité. Une fois les données dans la nature, les escrocs ouvrent des comptes, contractent des crédits, immatriculent des véhicules.
Statut de personne usurpée
Les victimes le découvrent à retardement : une amende, un huissier, un fichage à la Banque de France. Là commence un second cauchemar. L’Agence nationale de traitement automatisé des infractions continue d’envoyer des amendes, le Trésor public saisit l’argent, et chaque administration traite la situation séparément. Du point de vue pénal, ces personnes ne sont pas reconnues comme victimes : seuls le sont les organismes à qui elles avaient confié leurs données.
Trois mesures permettraient de combler cette faille. Premièrement, instaurer une procédure judiciaire accélérée ouvrant droit à un statut spécifique de personne usurpée, qui suspendrait automatiquement les procédures de recouvrement le temps que la situation soit clarifiée. page 25Aujourd’hui, la victime continue d’être ponctionnée pendant qu’elle se débat. Deuxièmement, lui désigner un interlocuteur unique chargé de coordonner ses démarches entre administrations. Le principe du « dites-le-nous une fois » doit s’appliquer aussi aux démarches de défense. Troisièmement, élargir le mandat de la délégation interministérielle à l’aide aux victimes, créée en 2017, aux fuites de données et à l’usurpation d’identité, en y associant pleinement les ministères de l’intérieur, de la justice et de l’économie pour produire les statistiques qui font défaut et formaliser un protocole commun.
J’interroge le gouvernement à ce sujet depuis juin 2025. La réponse est toujours la même : une expertise interministérielle est en cours. Sans calendrier, sans périmètre, sans engagement. Pendant ce temps, des millions de Français découvrent que leurs données circulent. Le contrat numérique entre l’Etat et le citoyen ne peut pas être à sens unique. Empêcher les attaques est une obligation. Protéger ceux qui en ont déjà été victimes en est une autre, tout aussi politique. Le plan du premier ministre ouvre une porte. II reste à la franchir.
Pour accéder à l’article : https://www.lemonde.fr/idees/article/2026/05/28/fuites-de-donnees-le-contrat-numerique-entre-l-etat-et-le-citoyen-ne-peut-pas-etre-a-sens-unique_6694505_3232.html