Cybersécurité

Arnaque CNIL : ces faux emails qui promettent d’effacer vos données après une fuite

Par Steve Chevillard , le 25/06/2026 , mis à jour le 26/06/2026 - 10 minutes de lecture
Faux email se faisant passer pour la CNIL et promettant d'effacer des données après une fuite
AccueilCybersécuritéArnaque CNIL : ces faux emails qui promettent d’effacer vos données après une fuite

Vous avez reçu un mail qui propose de « faire supprimer vos données personnelles » exposées après une fuite ? Et il cite le nom de la CNIL pour faire sérieux ? Ne donnez rien. C’est une arnaque, et elle est redoutablement bien construite. La CNIL elle-même a tiré la sonnette d’alarme en juin 2026 : des escrocs ciblent les victimes de fuites de données avec de faux messages d’« associations de protection » qui promettent de nettoyer leurs traces sur internet, contre paiement.

Ce qui rend cette arnaque vicieuse, c’est qu’elle frappe des gens déjà fragilisés. Vous venez d’apprendre que vos données ont fuité, vous êtes inquiet, et là un message tombe pile au bon moment avec la « solution ». Le piège est parfait. Voici comment fonctionne cette escroquerie, les signes qui ne trompent pas, et les bons réflexes pour ne pas vous faire avoir.

📌 L’essentiel à retenir

De faux emails citent la CNIL pour proposer d’effacer vos données après une fuite, contre paiement. C’est une arnaque : la CNIL ne contacte jamais les particuliers par mail et ne facture aucun service. Méfiez-vous des noms d’« associations » inconnues, des demandes d’argent, de l’urgence et des justificatifs réclamés. Ne répondez pas, ne payez pas, signalez le message sur cybermalveillance.gouv.fr, et sachez qu’aucune donnée déjà fuitée ne peut être effacée.

C’est quoi cette arnaque, au juste ?

Le mécanisme est simple et c’est ce qui le rend efficace. Après une grande fuite de données, vos coordonnées (nom, e-mail, parfois adresse postale ou IBAN) se retrouvent dans des fichiers qui circulent entre malfaiteurs. Des escrocs récupèrent ces fichiers et vous contactent par mail en se faisant passer pour des associations de défense des données personnelles.

La CNIL a repéré plusieurs noms bidons utilisés dans ces campagnes : la « Ligue de défense des données personnelles », la « Ligue de protection des données personnelles » ou encore l’« Association de protection des données personnelles ». Ça sonne officiel, c’est fait pour. Le message vous propose de faire effacer vos informations exposées en ligne, moyennant une « contribution » ou des frais de dossier.

Le détail qui fait mouche : certains de ces mails affichent le numéro de téléphone de la CNIL pour paraître crédibles. Sauf qu’il n’existe aucun lien entre ces expéditeurs et la CNIL. L’autorité l’a dit clairement : elle n’est à l’origine d’aucune de ces démarches. Elle ne contacte jamais les particuliers par mail pour leur proposer un service payant de suppression de données.

Source : https://www.cnil.fr/fr/vigilance-accompagnement-violation-de-donnees

Pourquoi ces mails sont si convaincants

La force de cette arnaque, c’est qu’elle utilise vos vraies données. Quand un message vous appelle par votre nom exact, mentionne votre adresse et glisse même votre IBAN, le cerveau baisse la garde. On se dit qu’un escroc lambda ne connaîtrait pas tout ça. Erreur : ces informations viennent justement de la fuite que l’arnaqueur exploite. Il ne les a pas devinées, il les a achetées ou récupérées dans un fichier volé. C’est le même ressort que d’autres campagnes récentes, comme l’arnaque qui a suivi la fuite ANTS touchant des millions de Français.

Ajoutez à ça le contexte émotionnel. Vous avez peut-être reçu une vraie notification de violation de données de la part d’une entreprise. Votre vigilance est en alerte, vous cherchez quoi faire. C’est exactement le moment où un faux sauveur a le plus de chances de vous convaincre. L’arnaque ne mise pas sur votre naïveté, elle mise sur votre inquiétude légitime.

Les 4 signes qui doivent vous alerter

Reconnaître ces faux messages n’a rien de sorcier quand on sait quoi regarder. Voici les quatre signaux qui doivent immédiatement allumer un voyant rouge.

  • On vous demande de l’argent. La CNIL est un organisme public. Faire valoir vos droits sur vos données est gratuit. Toute demande de paiement pour « supprimer vos données » est par définition une arnaque.
  • L’expéditeur est une « association » ou une « ligue » que vous ne connaissez pas. Vérifiez l’adresse e-mail réelle de l’envoyeur : un nom officiel affiché ne garantit rien, c’est le domaine après le @ qui compte.
  • Le message joue sur l’urgence. « Vos données sont en vente, agissez sous 48 h. » La pression temporelle est la signature de toutes les escroqueries.
  • On vous demande des informations ou des justificatifs. Pièce d’identité, RIB, copie de documents : aucune démarche légitime ne réclame ça par mail en réponse à ce genre de sollicitation.

Les bons réflexes si vous recevez ce type de mail

Premier réflexe : ne répondez pas et ne cliquez sur rien. Pas de réponse, pas de clic sur les liens, aucune information transmise. Le simple fait de répondre confirme à l’escroc que votre adresse est active, ce qui vous vaudra d’autres tentatives. Supprimez le message, ou mieux, signalez-le avant.

Deuxième réflexe : signalez l’arnaque. Vous pouvez transférer le mail frauduleux à la plateforme Signal Spam, et signaler l’escroquerie sur cybermalveillance.gouv.fr, le service public d’assistance aux victimes. Si vous avez subi un préjudice, la rubrique arnaques de service-public.gouv.fr vous oriente vers les bonnes démarches. Plus ces campagnes sont signalées, plus elles sont coupées rapidement.

Troisième réflexe : si vous avez déjà payé ou transmis vos infos, réagissez vite. Contactez votre banque pour faire opposition si vous avez communiqué un moyen de paiement. Changez les mots de passe des comptes concernés. Et déposez plainte : même si l’escroc est difficile à retrouver, votre signalement nourrit les enquêtes en cours.

Et pour vos données déjà exposées, on fait quoi ?

La vraie réponse n’est pas réjouissante : une donnée qui a fuité ne se « supprime » pas d’un coup de baguette magique. Aucune association, payante ou non, ne peut effacer vos informations des fichiers qui circulent déjà entre pirates. C’est précisément le mensonge sur lequel repose l’arnaque. Ce que vous pouvez faire, en revanche, c’est limiter les dégâts. Surveillez vos relevés bancaires, méfiez-vous des appels et mails non sollicités, et activez la double authentification sur vos comptes importants.

Si vous voulez des conseils fiables et gratuits après une fuite, allez à la source : le site de la CNIL et celui de cybermalveillance.gouv.fr publient des fiches pratiques claires. C’est la seule « association de protection » dont vous avez besoin, et elle ne vous enverra jamais la facture.

Pour aller plus loin

Cette arnaque repose sur le phishing, la technique reine des escrocs par mail. Pour muscler vos réflexes, lisez nos bons réflexes contre le phishing. Le même piège existe par SMS : nos 7 signaux pour repérer une arnaque par SMS vous aideront à ne pas tomber dans le panneau.

Ce qu’il faut retenir

Cette arnaque exploite votre inquiétude après une fuite et vos vraies données pour paraître crédible. Trois choses à graver. La CNIL ne demande jamais de paiement par mail et n’est derrière aucune de ces offres. Ne répondez pas, ne payez pas, ne transmettez rien, et signalez le message sur cybermalveillance.gouv.fr. Aucun service ne peut effacer des données déjà fuitées, alors méfiez-vous de quiconque le promet.

Ma règle, en sortant de cet article : un mail qui mélange vos vraies coordonnées, le nom d’une autorité officielle et une demande d’argent, c’est une arnaque jusqu’à preuve du contraire. Pas l’inverse.

Foire aux questions

La CNIL envoie-t-elle des emails pour supprimer mes données ?

Non. La CNIL ne contacte jamais les particuliers par mail pour proposer un service payant de suppression de données. Tout message qui le fait en son nom est frauduleux, même s’il affiche son numéro de téléphone.

Pourquoi l’email connaît-il mon nom et mon IBAN ?

Parce que ces informations proviennent d’une fuite de données réelle. L’escroc ne les a pas devinées : il a acheté ou récupéré un fichier volé. C’est justement ce qui rend le message crédible et dangereux.

Peut-on vraiment faire effacer des données déjà fuitées ?

Non. Une donnée qui a fuité circule déjà entre pirates et ne peut pas être supprimée des fichiers volés. Aucune association, payante ou non, ne peut le garantir. C’est le mensonge central de cette arnaque.

Que faire si j’ai déjà payé ou transmis mes informations ?

Contactez votre banque pour faire opposition si vous avez communiqué un moyen de paiement, changez les mots de passe des comptes concernés et déposez plainte. Signalez aussi le message sur cybermalveillance.gouv.fr.

Comment signaler ce type d’email frauduleux ?

Transférez le mail à Signal Spam (signal-spam.fr) et signalez l’escroquerie sur cybermalveillance.gouv.fr. Plus une campagne est signalée, plus elle est coupée rapidement.

Comment reconnaître ces faux messages à coup sûr ?

Quatre signaux : une demande d’argent, un expéditeur « association » ou « ligue » inconnu, un ton d’urgence (agissez sous 48 h) et une demande de justificatifs. Un seul de ces signes suffit à se méfier.

Cela pourrait aussi vous intéresser

Arnaques de la Coupe du Monde 2026 : faux billets, faux streaming et phishing visant les fans de footballArnaques de la Coupe du Monde 2026 : faux billets, faux sites de streaming et phishing, comment ne pas se faire piéger ! Fuite de données de l'ANTS exposant 19 millions de FrançaisFuite ANTS : 19 millions de Français exposés, suis-je concerné et que faire ? Smartphone affichant un SMS d'arnaque imitant un transporteur, exemple de smishingArnaque par SMS : 7 signaux d’alerte pour la repérer Protégez-vous contre le qr code quishing, une menace croissante qui utilise les qr codes pour voler vos données. Découvrez comment vous en prémunirQuishing : reconnaître l’arnaque au QR code et s’en protéger
Steve Chevillard, créateur d'Astuces & Aide Informatique

Steve Chevillard

Homo numericus. Créateur d'Astuces & Aide Informatique. Passionné par l'informatique depuis mon plus jeune âge. Après une licence en Histoire et un diplôme universitaire de développeur web à l'Université de Bourgogne, je partage maintenant mon temps entre ce site, mon emploi de directeur technique web pour le groupe de presse Philo éditions (Sciences Humaines, Philosophie magazine, Philonomist), ma passion pour la musique, ma femme et mes deux enfants.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.

Newsletter gratuite