Accueil › Vérification de fuite de données

Protéger ses données · Guide

Vérification de fuite de données : comment savoir si vos données ont fuité ?

Un e-mail bizarre, un service que vous utilisez qui se fait pirater… et cette petite angoisse : « est-ce que je suis concerné  ? » On vous explique comment vérifier, ce que les outils voient vraiment, et surtout ce qu'ils ne verront jamais. Sans bullshit.

Mis à jour le 29 mai 2026 · Lecture 6 min

Disons-le franchement : la vraie question n'est plus de savoir si vos données ont circulé un jour, mais lesquelles, et chez qui. Rien qu'en France, 2024 a battu le record de violations de données, et 2025 n'a pas inversé la courbe. France Travail, Free, des mutuelles, des enseignes… ça touche des dizaines de millions de personnes. Vous en faites probablement partie sans le savoir.

Vous êtes ici pour une réponse claire, pas pour une dissertation. Allons-y.

Comment vérifier si vos données ont fuité

Il n'existe pas de bouton magique qui affiche « telle donnée a fuité tel jour ». Ce serait pratique, c'est faux. Mais vous avez trois angles d'attaque qui, combinés, donnent une image plutôt fidèle.

1. Tapez votre e-mail dans un outil de veille

Le plus sérieux s'appelle Have I Been Pwned, tenu depuis plus de dix ans par Troy Hunt, un expert australien en cybersécurité. Vous entrez votre adresse, il vous dit si elle apparaît dans des fuites connues, et lesquelles. Il ne vous montre pas vos données ni votre mot de passe — juste « cet e-mail a été vu dans la fuite X ». À vous de réagir ensuite.

Nous, on a intégré cette veille directement dans Sheeldy, en français et reliée à votre tableau de bord — voir l'outil « Où votre e-mail a-t-il déjà fuité ? ».

Le bon réflexe

Testez aussi vos vieilles adresses, celles que vous n'utilisez plus mais qui servaient à créer des comptes il y a dix ans. C'est souvent là que se cachent les pires surprises.

2. Vérifiez vos mots de passe, pas seulement l'e-mail

Chrome, Firefox, Safari et les gestionnaires de mots de passe vous alertent désormais quand un mot de passe enregistré apparaît dans une fuite. Ne balayez pas l'alerte d'un revers de main : changez le mot de passe concerné, et tous ceux qui lui ressemblent.

3. Attendez (ou réclamez) l'information de l'organisme

C'est ce que les gens oublient le plus. Quand une fuite expose les personnes à un risque, l'organisme responsable a l'obligation légale de prévenir les concernés « dans les meilleurs délais ». Cet e-mail un peu solennel « nous avons subi un incident de sécurité » que vous avez peut-être reçu ? Ce n'est pas du spam, c'est précisément cette notification. Gardez-la.

Un doute sur un service précis ? La CNIL est claire : elle ne peut pas, elle, confirmer que vos données figurent dans tel fichier. Vous avez en revanche le droit d'interroger directement l'organisme, qui doit vous répondre.

À éviter absolument

Certains sites prétendent détenir les fichiers volés et vous proposent de « consulter vos données fuitées », parfois contre paiement. La CNIL déconseille formellement de les utiliser. Au mieux ils ne servent à rien, au pire ils récupèrent encore plus d'infos sur vous. Un outil honnête vous dit si vous êtes concerné — jamais il ne vous réaffiche vos données sensibles.

Ce qu'une vérification voit… et ne verra jamais

On préfère vous dire la vraie limite de l'exercice plutôt que de vous vendre du rêve.

Ce que vous pouvez vérifier

  • Si votre e-mail apparaît dans une fuite publiée
  • Le type de données exposées (e-mail, mot de passe, téléphone…)
  • La source approximative de la fuite
  • Si un de vos mots de passe enregistrés est compromis

Ce qu'aucun outil ne verra

  • Les fuites non publiées, revendues en privé
  • Les données déjà aspirées par des courtiers
  • Ce qu'un escroc compte précisément en faire
  • Une garantie que « tout va bien » : un résultat négatif n'est qu'une absence de preuve

Retenez surtout la dernière ligne. Un résultat positif est une certitude. Un résultat négatif, lui, veut juste dire « rien de connu publiquement » — vos infos peuvent très bien circuler ailleurs. Nuance qui change tout.

Vos données ont fuité : quoi faire, concrètement

Pas de panique, mais pas d'inaction non plus. Dans l'ordre, du plus urgent au plus tranquille :

  1. Changez vos mots de passe, en commençant par les comptes sensibles : messagerie principale, banque, impôts, sites marchands. Un mot de passe différent par service. Oui c'est pénible ; c'est aussi ce qui limite la casse.
  2. Activez la double authentification partout où c'est proposé. C'est la mesure qui rapporte le plus pour le moins d'effort.
  3. Méfiez-vous des messages trop bien renseignés. Après une fuite, les arnaques par e-mail ou SMS deviennent redoutables : l'escroc connaît votre nom, votre opérateur, parfois votre adresse. Un message qui paraît parfaitement légitime n'est pas la preuve qu'il l'est. Dans le doute : on n'ouvre pas la pièce jointe, on ne clique pas, on se connecte en tapant soi-même l'adresse du service.
  4. En cas d'usurpation d'identité (courriers bancaires pour des opérations inconnues, par ex.) : déposez plainte sans tarder, prévenez votre banque, et passez par cybermalveillance.gouv.fr qui propose un accompagnement et des modèles de lettre-plainte.
À lire aussi sur Sheeldy → La liste des fuites de données récentes en France (2026) → Comment limiter les fuites de données personnelles → Se désabonner des data brokers : le guide du droit à l'oubli

Réduire votre exposition pour la suite

Vérifier une fuite, c'est regarder dans le rétroviseur. Nécessaire, mais ça ne change rien à la quantité de données que des centaines d'organismes détiennent déjà sur vous — courtiers en données, annuaires, plateformes oubliées. Moins ils en gardent, moins vous avez à perdre à la prochaine fuite. Et il y aura une prochaine fuite.

Le RGPD vous donne un vrai levier : le droit à l'effacement (article 17), qui vous permet d'exiger d'un organisme qu'il supprime vos données. Le faire soi-même, acteur par acteur, c'est faisable — mais long, et franchement décourageant quand on découvre le nombre d'acteurs concernés. C'est exactement le sale boulot administratif qu'on a automatisé.

Faites baisser le bruit

Sheeldy demande la suppression de vos données auprès des data brokers, surveille les fuites qui contiennent vos infos et vous prévient quand ça sort. Service français, données hébergées en Suisse, conforme RGPD.

20 €une année · sans abonnement
2,50 €/moissans engagement · résiliable en 1 clic
Commencer à me protéger

Questions fréquentes

Have I Been Pwned est-il sûr ? Faut-il y entrer son mot de passe ?

Le site est reconnu dans le monde entier, y compris par des pros de la sécurité. Pour la recherche d'e-mail, vous n'entrez que votre adresse. Pour les mots de passe, le service utilise une méthode qui ne transmet jamais votre mot de passe en entier. Règle d'or quand même : ne saisissez jamais un mot de passe encore en usage sur un site dont vous n'êtes pas sûr.

Pourquoi le test dit que tout va bien alors qu'un service que j'utilise a été piraté ?

Parce que ces outils ne recensent que les fuites publiées. Si le fichier volé n'a pas circulé publiquement, il n'apparaît pas. Un « rien trouvé » ne garantit donc pas que vos données sont intactes.

Combien coûte une vérification de fuite de données ?

Rien, pour les outils sérieux. La vérification de base est gratuite. Si un site vous demande de payer juste pour savoir si vous êtes concerné, c'est un signal d'alarme.

La CNIL peut-elle vérifier pour moi ?

Non, la CNIL ne peut pas confirmer la présence de vos données dans un fichier ayant fuité. Vous pouvez en revanche poser la question directement à l'organisme concerné, tenu de vous répondre.

Sources

  1. CNIL — Fuite ou vol de données : comment savoir si cela vous concerne (mars 2024).
  2. Cybermalveillance.gouv.fr — 2024, année record de violations de données.
  3. Usine Digitale — France Travail : 36,8 millions de victimes (janvier 2026).
  4. Have I Been Pwned — FAQ (méthodologie et limites).