Vos données personnelles ont-elles fuité ? Voici comment le vérifier
Chaque année, des milliards de données personnelles sont exposées lors de violations de sécurité. En 2025, plus de 8 milliards d’identifiants ont été compromis à travers le monde. Adresses email, mots de passe, numéros de téléphone, adresses postales : personne n’est à l’abri. Ce guide vous explique comment vérifier si vos informations ont été exposées et quelles mesures prendre pour vous protéger. Pour une approche globale, consultez aussi notre guide complet pour protéger votre vie privée sur internet.
Protégez votre navigation — Extension gratuite
Qu’est-ce qu’une fuite de données personnelles ?
Une fuite de données (ou “data breach”) se produit lorsque des informations confidentielles sont accessibles à des personnes non autorisées. Cela peut résulter d’un piratage, d’une erreur de configuration d’un serveur ou d’une négligence interne dans une entreprise.
Les données les plus fréquemment exposées sont :
- Les adresses email et identifiants de connexion
- Les mots de passe (parfois en clair, parfois sous forme de hash)
- Les noms, prénoms et dates de naissance
- Les numéros de téléphone
- Les adresses postales
- Les données bancaires (plus rarement, mais cela arrive)
Lorsque ces données sont volées, elles sont souvent revendues sur le dark web ou compilées dans de vastes bases de données utilisées pour des attaques de credential stuffing (tentatives de connexion automatisées avec des identifiants volés).
Les outils gratuits pour vérifier vos données
Plusieurs services fiables permettent de vérifier gratuitement si vos données ont été compromises. Voici les plus recommandés.
Have I Been Pwned (HIBP)
Have I Been Pwned, créé par le chercheur en sécurité Troy Hunt, est la référence mondiale. Le site agrège les données de plus de 700 fuites connues et vous permet de vérifier votre adresse email en quelques secondes.
Pour l’utiliser :
- Rendez-vous sur haveibeenpwned.com.
- Entrez votre adresse email dans le champ de recherche.
- Cliquez sur “pwned?” pour lancer la vérification.
- Le site affiche la liste des fuites dans lesquelles votre email apparait, avec la date et le type de données exposées.
HIBP propose aussi un service de notification : inscrivez votre email pour être alerté automatiquement en cas de nouvelle fuite vous concernant.
Firefox Monitor
Mozilla propose Firefox Monitor, un service basé sur les données de Have I Been Pwned mais intégré à l’écosystème Firefox. Si vous utilisez un compte Firefox, vous recevrez des alertes automatiques directement dans votre navigateur.
Le service de Google : Rapport sur le dark web
Google propose depuis 2024 un outil de surveillance du dark web intégré à votre compte Google. Accessible depuis la page “Sécurité” de votre compte, il analyse si vos informations personnelles (email, nom, numéro de téléphone) apparaissent dans des fuites connues.
Vérification des mots de passe
Have I Been Pwned propose également un vérificateur de mots de passe via sa section “Passwords”. Vous pouvez entrer un mot de passe pour savoir s’il est apparu dans une fuite. La vérification se fait de manière sécurisée : votre mot de passe complet n’est jamais transmis au serveur grâce à un système de hachage partiel (k-anonymity).
Protégez votre navigation — Extension gratuite
Que faire si vos données ont fuité ?
Découvrir que vos données sont compromises peut être inquiétant, mais il existe des actions concrètes à entreprendre immédiatement.
Changer vos mots de passe compromis
C’est la première mesure à prendre. Changez immédiatement le mot de passe du service concerné par la fuite. Si vous utilisiez le même mot de passe ailleurs (ce qu’il faut éviter absolument), changez-le aussi sur tous les autres services.
Pour chaque nouveau mot de passe :
- Utilisez au minimum 14 caractères.
- Combinez majuscules, minuscules, chiffres et caractères spéciaux.
- Ne réutilisez jamais un mot de passe d’un service à l’autre.
- Privilégiez un gestionnaire de mots de passe (Bitwarden, KeePass, 1Password) pour les générer et les stocker. Découvrez aussi comment empêcher Google de vous pister pour réduire l’exposition de vos données.
Activer l’authentification à deux facteurs (2FA)
L’authentification à deux facteurs ajoute une couche de sécurité en exigeant un code supplémentaire lors de la connexion. Même si un pirate possède votre mot de passe, il ne pourra pas accéder à votre compte sans ce second facteur.
Privilégiez les applications d’authentification (Google Authenticator, Authy, Microsoft Authenticator) plutôt que les SMS, qui sont vulnérables aux attaques de SIM swapping.
Surveiller vos comptes bancaires
Si des données financières ont été exposées, surveillez vos relevés bancaires de près pendant plusieurs mois. Signalez immédiatement toute transaction suspecte à votre banque. En France, vous pouvez aussi faire opposition sur votre carte et en demander une nouvelle.
Signaler la fuite à la CNIL
En France, le RGPD oblige les entreprises à notifier la CNIL et les personnes concernées en cas de fuite de données. Si vous constatez qu’une entreprise n’a pas communiqué sur une fuite vous affectant, vous pouvez déposer une réclamation sur le site de la CNIL.
Comment prévenir les futures fuites
Vous ne pouvez pas empêcher une entreprise de subir un piratage, mais vous pouvez limiter les dégâts en adoptant de bonnes pratiques.
Minimiser les données partagées
Ne communiquez que les informations strictement nécessaires lors de l’inscription à un service. Si un site demande votre date de naissance ou votre adresse postale sans raison légitime, laissez les champs vides ou utilisez des informations alternatives.
Utiliser des adresses email jetables
Pour les inscriptions sur des sites peu importants, utilisez des alias ou des adresses email temporaires. Des services comme SimpleLogin ou les alias Apple/iCloud vous permettent de créer des adresses uniques pour chaque service. En cas de fuite, seul l’alias est compromis.
Limiter le nombre de comptes en ligne
Faites régulièrement le ménage dans vos comptes en ligne. Supprimez ceux que vous n’utilisez plus. Chaque compte est un point d’entrée potentiel pour une fuite. Des services comme JustDeleteMe référencent les procédures de suppression pour des centaines de sites.
Adopter un gestionnaire de mots de passe
Un gestionnaire de mots de passe est l’outil le plus efficace pour sécuriser vos comptes. Il génère des mots de passe uniques et complexes pour chaque service et les stocke de manière chiffrée. Vous n’avez plus qu’un seul mot de passe maître à retenir.
Pour convertir vos documents en toute sécurité, consultez aussi le convertisseur PDF gratuit.
Les signes d’alerte à surveiller
Certains indices peuvent révéler que vos données ont été compromises avant même que vous ne fassiez une vérification :
- Vous recevez des emails de réinitialisation de mot de passe que vous n’avez pas demandés.
- Des tentatives de connexion suspectes apparaissent dans l’historique de vos comptes.
- Vous recevez du spam ciblé contenant des informations personnelles (votre nom, votre ancien mot de passe).
- Des prélèvements inconnus apparaissent sur vos relevés bancaires.
- Vos amis reçoivent des messages étranges provenant de vos comptes de messagerie ou réseaux sociaux.
Si vous constatez l’un de ces signes, agissez immédiatement en changeant vos mots de passe et en vérifiant vos comptes sur les outils mentionnés plus haut. Consultez également notre FAQ sur les cookies et trackers pour limiter le suivi en ligne.
FAQ
À quelle fréquence faut-il vérifier ses données ?
Idéalement, inscrivez-vous aux alertes automatiques de Have I Been Pwned ou Firefox Monitor pour être prévenu en temps réel. En complément, faites une vérification manuelle tous les trois mois, surtout si vous créez régulièrement de nouveaux comptes en ligne.
Les outils de vérification sont-ils sûrs ?
Oui, les services recommandés dans ce guide (Have I Been Pwned, Firefox Monitor, Google) sont fiables et reconnus par la communauté de la cybersécurité. Ils ne stockent pas votre mot de passe et utilisent des techniques de hachage pour protéger vos recherches. Méfiez-vous en revanche des sites inconnus qui proposent des vérifications similaires.
Que risque-t-on concrètement si ses données ont fuité ?
Les risques dépendent du type de données exposées. Un email seul entraînera surtout du spam. Un couple email/mot de passe permet des tentatives de piratage de vos comptes. Des données bancaires peuvent conduire à des fraudes financières. Dans les cas les plus graves (numéro de sécurité sociale, pièce d’identité), l’usurpation d’identité est possible.
Est-ce que changer son mot de passe suffit après une fuite ?
Changer son mot de passe est la première étape indispensable, mais cela ne suffit pas toujours. Activez également la 2FA, vérifiez que le même mot de passe n’était pas utilisé sur d’autres services, et surveillez votre compte pendant plusieurs semaines pour détecter toute activité suspecte.
Peut-on demander à une entreprise de supprimer ses données après une fuite ?
Oui, le RGPD vous donne le droit à l’effacement de vos données (article 17). Vous pouvez contacter le responsable du traitement (le DPO de l’entreprise) pour demander la suppression de vos informations. L’entreprise dispose d’un mois pour répondre à votre demande.