Moteurs de recherche de données volées : la justice française saisie

Des plaintes ont été déposées ces dernières semaines devant les juridictions françaises contre plusieurs opérateurs de « lookups » — ces moteurs de recherche spécialisés qui permettent à n’importe qui de retrouver des informations personnelles sur une personne à partir de son adresse e-mail, de son numéro de téléphone ou même de son nom. Le problème ? Ces bases de données sont constituées, pour l’essentiel, de milliards de données volées lors de cyberattaques.

Des outils qui agrègent l’invisible

Le principe est simple, et c’est précisément ce qui le rend inquiétant. Un utilisateur tape une adresse e-mail dans un lookup, et la plateforme restitue instantanément un profil : numéro de téléphone, pseudonymes utilisés en ligne, anciens mots de passe, parfois même une adresse postale. Ces informations proviennent de fuites de données documentées — les piratages de LinkedIn en 2021, de Deezer en 2022, ou encore du prestataire de santé français Viamedis début 2024, qui avait exposé les données de près de 33 millions d’assurés.

Certains de ces lookups se présentent comme des outils de cybersécurité, à destination des professionnels. Mais leur accès est souvent libre ou quasi libre, moyennant un simple abonnement de quelques euros par mois.

Une zone grise juridique sous pression

C’est précisément cette accessibilité qui a poussé plusieurs associations de défense des libertés numériques à agir. Les plaintes visent des infractions au Règlement général sur la protection des données (RGPD) ainsi qu’à la loi Informatique et Libertés. « Ces plateformes ne produisent pas les données, mais elles les organisent, les rendent cherchables, les monétisent. C’est une forme de recel de données personnelles », estime un juriste spécialisé en droit du numérique, familier de ces dossiers.

La CNIL, contactée sur le sujet, n’a pas souhaité commenter les procédures en cours. Mais l’autorité avait déjà sanctionné plusieurs acteurs similaires ces dernières années.

And yet, la grande majorité de ces plateformes sont hébergées hors de France — aux États-Unis, à Chypre, ou via des juridictions offshore. Ce qui complique considérablement toute tentative de blocage ou de poursuite.

Des victimes souvent ignorantes du problème

Le plus troublant, c’est que des millions de Français sont probablement référencés dans ces bases sans le savoir. Une rapide vérification sur l’un de ces outils suffit à s’en convaincre : des noms, des profils, des fragments de vie numérique, exposés en clair.

Still, des recours individuels existent. La loi permet à toute personne de demander la suppression de ses données. Mais la procédure est longue, et ces plateformes répondent rarement.

La suite à surveiller

Les plaintes déposées pourraient aboutir à des enquêtes préliminaires confiées à l’OCLCTIC, l’office central de lutte contre la cybercriminalité. Si des opérateurs européens sont identifiés, des amendes pouvant atteindre 4 % du chiffre d’affaires mondial sont théoriquement applicables. Mais l’issue reste incertaine. Ce dossier illustre, une fois de plus, la difficulté du droit à rattraper la réalité d’un internet où les données volées circulent librement — et se vendent.

Similar Posts