Fuite de données ANTS : plainte contre l'État
Publié le 11/05/2026
11,7 millions de comptes compromis en une seule attaque : la fuite de données qui a frappé l'Agence nationale des titres sécurisés (ANTS) le 15 avril 2026 place l'État français au cœur d'une tempête juridique sans précédent. Un adolescent de 15 ans aurait suffi à siphonner les données personnelles de millions d'usagers. La réponse judiciaire ne s'est pas fait attendre.
Une brèche colossale dans un service public régalien
L'ANTS — rebaptisée France Titres — gère des documents d'une sensibilité extrême : passeports, permis de conduire, cartes nationales d'identité. Ce sont précisément ces données qui ont été exposées lors du piratage constaté mi-avril 2026. L'ampleur de la compromission place cet incident parmi les fuites les plus significatives jamais enregistrées au sein des services de l'État français.
Ce qui frappe, c'est l'identité présumée de l'auteur. Un mineur de 15 ans aurait réussi, seul, à contourner les protections d'un établissement public administratif chargé de titres régaliens. Cette réalité soulève une question directe : les systèmes de sécurité informatique de l'État étaient-ils à la hauteur des risques ? Pour beaucoup d'observateurs, la réponse est non.
Les données concernées relèvent du Règlement général sur la protection des données (RGPD), texte européen qui impose des obligations strictes aux responsables de traitement. Or, selon la plainte déposée, l'ANTS n'aurait pas respecté l'article 9 de ce règlement, qui encadre le traitement des données spécialement sensibles. Une défaillance technique doublée d'un manquement réglementaire : voilà ce que dénonce formellement l'association à l'origine de la procédure.
Pour les millions de citoyens concernés — qu'ils aient récemment effectué une demande de passeport à Hénin-Beaumont ou dans n'importe quelle autre commune —, l'incident soulève une inquiétude légitime sur la sécurité de leurs informations personnelles transmises à l'administration.
| Élément | Détail |
|---|---|
| Date de découverte | 15 avril 2026 |
| Nombre de comptes touchés | 11,7 millions |
| Organisme visé | ANTS (France Titres) |
| Données concernées | Passeports, CNI, permis de conduire |
| Auteur présumé | Adolescent de 15 ans |
La Ligue des Libertés porte plainte devant la CNIL
Fondée en février 2026, la Ligue des Libertés se définit comme une association militant pour l'intérêt général. Trois mois seulement après sa création, elle saisit la Commission nationale de l'informatique et des libertés (CNIL) — l'autorité française chargée de veiller au respect des droits numériques — d'une plainte formelle contre l'État.
La plainte, consultée par La Tribune, décrit précisément une compromission des données à caractère personnel des usagers. Mais l'association ne s'arrête pas là. Elle a également déposé deux demandes préalables d'indemnisation, chacune fixée à 150 000 euros en réparation des préjudices subis :
- La première cible l'ANTS directement, en sa qualité de responsable de traitement des données.
- La seconde vise le ministère de l'Intérieur, tutelle de l'agence, pour carence dans le respect de l'article 26 du RGPD relatif à la coresponsabilité de traitement.
L'avocat Guilhem Carayon, fondateur de la Ligue des Libertés, ne mâche pas ses mots : « La défaillance de l'État sur la protection des données et le manquement au RGPD sont manifestes », a-t-il déclaré. Il qualifie cet incident de l'une des plus significatives fuites de données jamais survenues sur des titres régaliens en France.
Le conseil scientifique de l'association s'appuie sur des figures reconnues : les anciens ministres Noëlle Lenoir, Renaud Dutreil et Pierre Lellouche y figurent. Guilhem Carayon est par ailleurs vice-président de l'Union des droites pour la République, le parti d'Éric Ciotti, allié au Rassemblement national — une précision politique que certains observateurs jugent utile pour contextualiser les motivations de la démarche.
Droits des usagers et responsabilités de l'État face au RGPD
Cette affaire dépasse le simple fait divers numérique. Elle interroge frontalement l'obligation de moyens — et de résultats — qui pèse sur l'État lorsqu'il traite les données personnelles de ses citoyens. Le RGPD, entré en vigueur en mai 2018, impose notamment la mise en œuvre de mesures techniques et organisationnelles adaptées au niveau de risque.
Déposer une demande de renouvellement de passeport à Pornic ou ailleurs implique de confier à l'administration des informations d'identité très précises. Les usagers ont le droit d'exiger que ces données soient protégées avec rigueur. La CNIL dispose de pouvoirs de sanction allant jusqu'à 4 % du chiffre d'affaires annuel mondial d'une organisation — pour un établissement public, les mécanismes diffèrent, mais l'autorité peut formuler des mises en demeure contraignantes.
Que la plainte aboutisse à des sanctions ou non, elle produit déjà un effet immédiat : forcer un débat public sur la cybersécurité des services de l'État. Les citoyens dont les données ont été exposées ont tout intérêt à surveiller leurs documents d'identité, à signaler toute utilisation frauduleuse et à exercer leurs droits d'accès et de rectification directement auprès de France Titres. La sécurité numérique ne se délègue pas entièrement — mais l'État, lui, ne peut pas s'exonérer de sa responsabilité première.