Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 1 mai 2026
Espace presse

Ressources presse, communiqués
et contact direct.

Donneespersonnelles.fr est édité par Thiébaut Devergranne, docteur en droit (Paris II Panthéon-Assas), titulaire du CAPA, ancien conseil juridique des services du Premier ministre.

Dernier communiqué — 1er mai 2026

Affaire ANTS : premier générateur automatique de plainte pénale (art. 226-17) pour les 19 millions d’usagers concernés

Une faille IDOR sur moncompte.ants.gouv.fr, exploitée par un mineur de 15 ans interpellé par le parquet de Paris la semaine dernière. Pour les usagers, une nouvelle possibilité facilement accessible grâce à un générateur en ligne : l’article 226-17 du Code pénal— 5 ans de prison, 1,5 M€ d’amende —, sous-utilisé depuis 1978.

19 M
d'usagers ANTS potentiellement concernés
15 ans
l'âge du suspect interpellé par le parquet
5 ans
de prison encourus (art. 226-17 Code pénal)
1,5 M€
d'amende pour les personnes morales

La semaine dernière, le parquet de Paris a annoncé l’interpellation d’un mineur de 15 ans dans l’enquête sur l’intrusion de moncompte.ants.gouv.fr. Selon les éléments rendus publics par les chercheurs ayant analysé l’incident, la vulnérabilité exploitée serait de type IDOR — l’une des plus triviales du référentiel de sécurité. L’ANTS reconnaît une exposition potentielle de 18 à 19 millions d’usagers de ses titres sécurisés.

Données personnelles met aujourd’hui en ligne un générateur automatique de plainte simple au procureur sur le fondement de l’article 226-17 du Code pénal : l’usager renseigne ses données, l’outil produit une plainte personnalisée, prête à imprimer, signer et envoyer en lettre recommandée. Voie pénale, sans avocat. À notre connaissance, c’est la première fois en France qu’un tel outil est mis à la disposition du grand public à grande échelle.

« Cela fait quarante-huit ans que l’article 226-17 sanctionne la défaillance des mesures de sécurité dans les traitements de données. Pendant ce temps, on a appris aux victimes à attendre la CNIL. La voie pénale, gratuite, sans avocat, par lettre recommandée, est ouverte. Il fallait juste le rappeler — et fournir le modèle. »
— Thiébaut Devergranne, docteur en droit
Lire l’article & utiliser le générateur →Demander des éléments

À propos de l’auteur

Thiébaut Devergranne— Docteur en droit privé sciences criminelles (Université Paris II Panthéon-Assas), titulaire du CAPA, ancien conseil juridique des services du Premier ministre (SGDN/DCSSI). Plus de vingt ans en droit des nouvelles technologies. Éditeur de donneespersonnelles.fr depuis 2011.

2007
Thèse « La propriété informatique », Paris II.
Mention très honorable, félicitations du jury (J. Huet dir., H. Lecuyer, T. Revet, J.-C. Galloux, E. Caprioli).
6 ans
Conseil juridique au SGDN/DCSSI (services du Premier ministre). Délégation française G8, négociations internationales.
RGPD
Expert national auprès des services du Premier ministre lors de la phase de négociation du RGPD.
6 ans
Enseignement en Master 2, Université Paris-Dauphine.
SSTIC
Cofondateur du SSTIC (Symposium sur la sécurité des technologies de l’information).
220+
Articles signés sur donneespersonnelles.fr depuis 2011. Fondateur de Legiscope (plateforme RGPD).

Sujets d’expertise

  • RGPD
  • Sanctions CNIL
  • Article 226-17 Code pénal
  • Fuites de données
  • AI Act
  • NIS2
  • Data Act
  • Cyber Resilience Act
  • DORA
  • CSRD
  • Surveillance & libertés
  • Conformité PME / ETI