Alerte Fuite de Données

Fuite de données dans l'immobilier : des millions de Français exposés

Par Kevin Pabst
Expert en sécurité informatique
Remise de clés dans une agence immobilière, illustration des fuites de données du secteur immobilier français
Source image : Unsplash (Libre de droits)

Une visite d'appartement ne devrait pas vous suivre pendant dix ans. Faites purger votre profil chez les courtiers de données !

Entre le 12 juin et le 1er juillet 2026, plusieurs bases attribuées à des acteurs de l'immobilier français ont été publiées ou mises en vente sur des forums cybercriminels : plus de six millions de personnes seraient concernées. Coordonnées, documents de dossier locatif et champs bancaires figureraient parmi les données exposées. Voici comment vérifier votre exposition et réagir.

En un coup d'œil : la vague de fuites immobilières

  • Une série de revendications visant portails d'annonces, réseaux d'agences et outils d'estimation.
  • Vous êtes potentiellement concerné même sans avoir jamais loué ni acheté.
  • Coordonnées, documents contractuels et signatures numérisées seraient en circulation.
  • Le risque principal : le prélèvement frauduleux et le harponnage sur mesure.

Ce que révèlent les revendications de juin et juillet 2026

Le secteur immobilier français traverse une séquence inhabituelle. En l'espace de trois semaines, plusieurs jeux de données présentés comme provenant de professionnels du logement ont été mis en ligne sur des places de marché criminelles. Le 24 juin 2026, un acteur opérant sous le pseudonyme « ChimeraZ » a revendiqué la compromission de données rattachées à Digit RE Group, maison mère de réseaux de mandataires bien connus du grand public. La revendication porte sur environ 3,46 millions de contacts, accompagnés de dizaines de milliers de documents administratifs et d'enregistrements liés à des signatures électroniques.

Une semaine plus tard, le 1er juillet 2026, une archive d'environ 1,23 Go attribuée à une agence de gestion locative était diffusée par le même pseudonyme. Elle contiendrait un millier de fichiers : des états des lieux au format PDF, des données de locataires, des signatures manuscrites numérisées et des champs bancaires (titulaire du compte, banque, IBAN, BIC). D'autres revendications, publiées entre le 12 juin et début juillet, visent des portails d'annonces et des outils d'estimation en ligne.

Une précision méthodologique s'impose, et elle est importante : il s'agit à ce stade de revendications, pas de faits établis. Les volumes annoncés proviennent des auteurs eux-mêmes, dont l'intérêt est d'impressionner d'éventuels acheteurs. Aucune des entreprises citées n'a, à notre connaissance, confirmé publiquement l'authenticité intégrale des fichiers, et le périmètre exact reste à vérifier. Cette prudence ne doit toutefois pas se transformer en passivité : les échantillons diffusés présentent une structure cohérente avec des données de gestion immobilière réelles, ce qui suffit à justifier des mesures de précaution immédiates.

Qui est réellement concerné ? Bien plus de monde qu'on ne le croit

L'erreur classique consiste à se dire : « Je n'ai ni acheté ni loué récemment, je ne suis pas concerné. » Dans l'immobilier, ce raisonnement est faux. Le modèle économique du secteur repose sur la captation massive de prospects, c'est-à-dire de personnes qui ont manifesté un simple intérêt. Vos données entrent dans ces bases bien avant toute transaction.

Autrement dit, la surface d'attaque déborde très largement le cercle des clients. Un dossier déposé en 2019 auprès d'une agence, pour un appartement que vous n'avez même pas obtenu, peut parfaitement dormir aujourd'hui dans une base exfiltrée.

Le dossier de location : un coffre-fort d'identité laissé sans serrure

Pour comprendre pourquoi ces fuites sont plus graves qu'une simple liste d'adresses e-mail, il faut regarder ce que contient un dossier locatif type. La loi encadre pourtant strictement cette collecte : le décret n° 2015-1437 du 5 novembre 2015 fixe la liste limitative des pièces qu'un bailleur ou une agence peut réclamer. La CNIL rappelle sur sa page dédiée aux justificatifs exigibles lors d'une location que certains documents, comme la copie de la carte Vitale, le relevé de compte bancaire ou l'extrait de casier judiciaire, ne peuvent jamais être demandés.

La réalité du terrain est différente. Dans un marché tendu, beaucoup de candidats fournissent spontanément davantage que le minimum légal pour se démarquer. Pièce d'identité recto verso, trois derniers bulletins de salaire, avis d'imposition, coordonnées de l'employeur, parfois un relevé d'identité bancaire : réunis, ces éléments forment un kit d'usurpation d'identité quasi complet. Un attaquant n'a plus besoin de deviner votre date de naissance ni votre employeur, tout est dans le PDF.

Alerte Sécurité / Réalité du terrain

Un IBAN seul ne permet pas de vider un compte, et c'est précisément ce qui endort la vigilance. Il permet en revanche de créer un mandat de prélèvement au nom d'un faux créancier. La somme part discrètement, souvent sous un libellé anodin, et beaucoup de victimes ne s'en aperçoivent qu'au moment de leur relevé annuel. Lorsque l'IBAN voyage avec une pièce d'identité et une signature scannée, le fraudeur ne se contente plus de prélever : il peut se faire passer pour vous auprès de tiers.

Quelles données ont fuité, et pour quel usage criminel ?

Les corpus revendiqués ne se ressemblent pas tous. Certains se limitent à des données de contact et de ciblage marketing (nom, e-mail, téléphone, géolocalisation, origine de la campagne publicitaire). D'autres, comme l'archive de gestion locative diffusée le 1er juillet, descendent au niveau du document contractuel. Cette gradation détermine directement le type d'attaque à redouter :

Avant de changer quoi que ce soit, mesurez l'ampleur du problème : notre scan approfondi gratuit vous indique dans quelles fuites votre adresse e-mail apparaît déjà, y compris celles que vous aviez oubliées.

Les cinq réflexes à appliquer cette semaine

Face à une fuite dont le périmètre reste flou, attendre une notification officielle est une mauvaise stratégie. Le règlement européen impose au responsable de traitement d'informer les personnes concernées en cas de risque élevé, mais ce délai se compte souvent en semaines. Voici les gestes utiles dès maintenant.

Si un prélèvement suspect apparaît : vos délais légaux

La bonne nouvelle, souvent ignorée, est que la loi protège fortement le titulaire du compte. Deux régimes coexistent, et les confondre coûte cher. Pour une opération que vous n'avez jamais autorisée, vous disposez d'un délai de treize mois à compter de la date du débit pour la signaler à votre banque (article L133-24 du code monétaire et financier). Pour un prélèvement reposant sur un mandat que vous aviez bien signé, mais dont vous contestez le montant, le remboursement est de droit pendant huit semaines.

Dans le cas d'une opération non autorisée, l'établissement doit vous rembourser sans délai injustifié, comme le rappelle la fiche officielle sur le prélèvement bancaire publiée par l'administration française. Ne laissez donc pas passer un débit douteux au motif qu'il est ancien ou modeste : agissez, en conservant systématiquement une trace écrite de votre contestation.

La riposte durable : réduire ce qui peut fuir

Surveiller ses comptes est nécessaire, mais c'est une posture défensive : vous encaissez l'attaque, puis vous réparez. La seule stratégie qui fait baisser le risque sur la durée consiste à réduire le volume d'informations vous concernant qui circule hors de votre contrôle. Chaque copie de vos coordonnées stockée chez un intermédiaire est une fuite potentielle en sommeil, et le secteur immobilier n'est qu'un revendeur parmi des centaines. EffaceData fait place nette : nous n'interrogeons pas seulement les détenteurs de vos données, nous exigeons leur suppression définitive sur le fondement de l'article 17 du RGPD.

Pour situer cet épisode dans une tendance de fond, notre bilan CNIL 2026 des fuites de données en France montre à quel point la notification d'incident est devenue une routine administrative.

Reprenez la main sur votre dossier

Vos justificatifs ont circulé assez longtemps. Faites supprimer vos données chez les courtiers et soyez prévenu dès qu'elles refont surface.

Chiffrement SSL, Conforme RGPD & Résiliable à tout moment

Avertissement : Ceci n'est pas un conseil juridique. Cet article est fourni à titre d'information en cybersécurité. Les fuites évoquées reposent sur des revendications publiées par leurs auteurs présumés et n'ont pas été confirmées officiellement par les organisations citées. En cas de débit frauduleux, contactez sans délai votre banque et, si nécessaire, déposez plainte.