Fuite de données dans l'immobilier : des millions de Français exposés
Une visite d'appartement ne devrait pas vous suivre pendant dix ans. Faites purger votre profil chez les courtiers de données !
Entre le 12 juin et le 1er juillet 2026, plusieurs bases attribuées à des acteurs de l'immobilier français ont été publiées ou mises en vente sur des forums cybercriminels : plus de six millions de personnes seraient concernées. Coordonnées, documents de dossier locatif et champs bancaires figureraient parmi les données exposées. Voici comment vérifier votre exposition et réagir.
En un coup d'œil : la vague de fuites immobilières
- Une série de revendications visant portails d'annonces, réseaux d'agences et outils d'estimation.
- Vous êtes potentiellement concerné même sans avoir jamais loué ni acheté.
- Coordonnées, documents contractuels et signatures numérisées seraient en circulation.
- Le risque principal : le prélèvement frauduleux et le harponnage sur mesure.
Ce que révèlent les revendications de juin et juillet 2026
Le secteur immobilier français traverse une séquence inhabituelle. En l'espace de trois semaines, plusieurs jeux de données présentés comme provenant de professionnels du logement ont été mis en ligne sur des places de marché criminelles. Le 24 juin 2026, un acteur opérant sous le pseudonyme « ChimeraZ » a revendiqué la compromission de données rattachées à Digit RE Group, maison mère de réseaux de mandataires bien connus du grand public. La revendication porte sur environ 3,46 millions de contacts, accompagnés de dizaines de milliers de documents administratifs et d'enregistrements liés à des signatures électroniques.
Une semaine plus tard, le 1er juillet 2026, une archive d'environ 1,23 Go attribuée à une agence de gestion locative était diffusée par le même pseudonyme. Elle contiendrait un millier de fichiers : des états des lieux au format PDF, des données de locataires, des signatures manuscrites numérisées et des champs bancaires (titulaire du compte, banque, IBAN, BIC). D'autres revendications, publiées entre le 12 juin et début juillet, visent des portails d'annonces et des outils d'estimation en ligne.
Une précision méthodologique s'impose, et elle est importante : il s'agit à ce stade de revendications, pas de faits établis. Les volumes annoncés proviennent des auteurs eux-mêmes, dont l'intérêt est d'impressionner d'éventuels acheteurs. Aucune des entreprises citées n'a, à notre connaissance, confirmé publiquement l'authenticité intégrale des fichiers, et le périmètre exact reste à vérifier. Cette prudence ne doit toutefois pas se transformer en passivité : les échantillons diffusés présentent une structure cohérente avec des données de gestion immobilière réelles, ce qui suffit à justifier des mesures de précaution immédiates.
Qui est réellement concerné ? Bien plus de monde qu'on ne le croit
L'erreur classique consiste à se dire : « Je n'ai ni acheté ni loué récemment, je ne suis pas concerné. » Dans l'immobilier, ce raisonnement est faux. Le modèle économique du secteur repose sur la captation massive de prospects, c'est-à-dire de personnes qui ont manifesté un simple intérêt. Vos données entrent dans ces bases bien avant toute transaction.
- Vous avez demandé une estimation en ligne : ces simulateurs gratuits sont des aspirateurs à coordonnées. En échange d'un prix indicatif, vous livrez nom, téléphone, e-mail et adresse précise du bien.
- Vous avez créé une alerte sur un portail d'annonces : votre budget, votre zone de recherche et votre calendrier de projet constituent un profil commercial revendable.
- Vous avez déposé un dossier de location : c'est le scénario le plus sensible, car un dossier locatif concentre en un seul endroit ce qu'un usurpateur met normalement des mois à rassembler.
- Vous avez signé électroniquement un mandat ou un bail : les métadonnées de signature, et parfois le graphisme de votre paraphe, peuvent se retrouver dans les archives compromises.
Autrement dit, la surface d'attaque déborde très largement le cercle des clients. Un dossier déposé en 2019 auprès d'une agence, pour un appartement que vous n'avez même pas obtenu, peut parfaitement dormir aujourd'hui dans une base exfiltrée.
Le dossier de location : un coffre-fort d'identité laissé sans serrure
Pour comprendre pourquoi ces fuites sont plus graves qu'une simple liste d'adresses e-mail, il faut regarder ce que contient un dossier locatif type. La loi encadre pourtant strictement cette collecte : le décret n° 2015-1437 du 5 novembre 2015 fixe la liste limitative des pièces qu'un bailleur ou une agence peut réclamer. La CNIL rappelle sur sa page dédiée aux justificatifs exigibles lors d'une location que certains documents, comme la copie de la carte Vitale, le relevé de compte bancaire ou l'extrait de casier judiciaire, ne peuvent jamais être demandés.
La réalité du terrain est différente. Dans un marché tendu, beaucoup de candidats fournissent spontanément davantage que le minimum légal pour se démarquer. Pièce d'identité recto verso, trois derniers bulletins de salaire, avis d'imposition, coordonnées de l'employeur, parfois un relevé d'identité bancaire : réunis, ces éléments forment un kit d'usurpation d'identité quasi complet. Un attaquant n'a plus besoin de deviner votre date de naissance ni votre employeur, tout est dans le PDF.
Alerte Sécurité / Réalité du terrain
Un IBAN seul ne permet pas de vider un compte, et c'est précisément ce qui endort la vigilance. Il permet en revanche de créer un mandat de prélèvement au nom d'un faux créancier. La somme part discrètement, souvent sous un libellé anodin, et beaucoup de victimes ne s'en aperçoivent qu'au moment de leur relevé annuel. Lorsque l'IBAN voyage avec une pièce d'identité et une signature scannée, le fraudeur ne se contente plus de prélever : il peut se faire passer pour vous auprès de tiers.
Quelles données ont fuité, et pour quel usage criminel ?
Les corpus revendiqués ne se ressemblent pas tous. Certains se limitent à des données de contact et de ciblage marketing (nom, e-mail, téléphone, géolocalisation, origine de la campagne publicitaire). D'autres, comme l'archive de gestion locative diffusée le 1er juillet, descendent au niveau du document contractuel. Cette gradation détermine directement le type d'attaque à redouter :
- Le harponnage contextuel : un e-mail qui cite le nom exact de votre agence, la référence de votre bail et la date de votre état des lieux ne ressemble plus à du spam. Il ressemble à un courrier légitime. C'est le carburant du spear-phishing (harponnage ciblé), une attaque taillée pour une seule victime.
- La fraude au prélèvement : l'exposition des champs IBAN et BIC ouvre la voie à des débits illégitimes, un risque que nous détaillons dans notre analyse du piratage exposant les IBAN et les réflexes à adopter.
- L'arnaque au faux conseiller : connaissant l'avancement précis de votre projet, un escroc peut vous appeler en se présentant comme votre négociateur ou l'étude notariale, et vous transmettre un nouveau relevé d'identité bancaire « corrigé » juste avant le versement des fonds.
- Les profils fantômes : vos informations alimentent des bases revendues à des courtiers en données, où elles survivent des années après la suppression du compte d'origine.
Avant de changer quoi que ce soit, mesurez l'ampleur du problème : notre scan approfondi gratuit vous indique dans quelles fuites votre adresse e-mail apparaît déjà, y compris celles que vous aviez oubliées.
Les cinq réflexes à appliquer cette semaine
Face à une fuite dont le périmètre reste flou, attendre une notification officielle est une mauvaise stratégie. Le règlement européen impose au responsable de traitement d'informer les personnes concernées en cas de risque élevé, mais ce délai se compte souvent en semaines. Voici les gestes utiles dès maintenant.
- Passez vos relevés au peigne fin : examinez les douze derniers mois, pas seulement le mois écoulé. Traquez les petits montants récurrents à libellé inconnu, qui sont la signature d'un prélèvement test.
- Activez le filtrage des mandats : la plupart des banques permettent de lister les créanciers autorisés, voire de bloquer tout nouveau prélèvement non déclaré. La CNIL détaille cette démarche dans ses conseils sur le vol d'IBAN après une fuite de données.
- Instaurez la règle du rappel : aucun changement de coordonnées bancaires ne s'accepte par e-mail. Rappelez systématiquement votre agence ou votre notaire sur un numéro que vous avez vous-même retrouvé, jamais sur celui figurant dans le message reçu.
- Exercez votre droit d'accès : l'article 15 du RGPD vous autorise à demander à toute agence ou plateforme quelles données elle détient sur vous. La réponse est due sous un mois, et elle révèle souvent des dossiers que vous pensiez clos.
- Réclamez l'effacement : l'article 17 du RGPD (droit à l'effacement) impose la suppression des données dont la conservation n'est plus justifiée. Un dossier de candidature refusé en 2019 n'a aucune raison légitime de subsister aujourd'hui.
Si un prélèvement suspect apparaît : vos délais légaux
La bonne nouvelle, souvent ignorée, est que la loi protège fortement le titulaire du compte. Deux régimes coexistent, et les confondre coûte cher. Pour une opération que vous n'avez jamais autorisée, vous disposez d'un délai de treize mois à compter de la date du débit pour la signaler à votre banque (article L133-24 du code monétaire et financier). Pour un prélèvement reposant sur un mandat que vous aviez bien signé, mais dont vous contestez le montant, le remboursement est de droit pendant huit semaines.
Dans le cas d'une opération non autorisée, l'établissement doit vous rembourser sans délai injustifié, comme le rappelle la fiche officielle sur le prélèvement bancaire publiée par l'administration française. Ne laissez donc pas passer un débit douteux au motif qu'il est ancien ou modeste : agissez, en conservant systématiquement une trace écrite de votre contestation.
La riposte durable : réduire ce qui peut fuir
Surveiller ses comptes est nécessaire, mais c'est une posture défensive : vous encaissez l'attaque, puis vous réparez. La seule stratégie qui fait baisser le risque sur la durée consiste à réduire le volume d'informations vous concernant qui circule hors de votre contrôle. Chaque copie de vos coordonnées stockée chez un intermédiaire est une fuite potentielle en sommeil, et le secteur immobilier n'est qu'un revendeur parmi des centaines. EffaceData fait place nette : nous n'interrogeons pas seulement les détenteurs de vos données, nous exigeons leur suppression définitive sur le fondement de l'article 17 du RGPD.
- Identification et suppression chez les courtiers de données : nous contraignons plus de cent courtiers à purger vos informations de leurs registres, ce qui tarit la source des profils revendus aux démarcheurs et aux fraudeurs.
- Surveillance du Darknet : nos sondes vous alertent lorsque vos coordonnées apparaissent dans un nouveau corpus mis en vente, pendant que la fenêtre de réaction est encore ouverte.
- Assistance aux recours collectifs : lorsqu'une violation massive est confirmée, nous vous aidons à faire valoir vos droits aux côtés des autres personnes concernées.
Pour situer cet épisode dans une tendance de fond, notre bilan CNIL 2026 des fuites de données en France montre à quel point la notification d'incident est devenue une routine administrative.
Reprenez la main sur votre dossier
Vos justificatifs ont circulé assez longtemps. Faites supprimer vos données chez les courtiers et soyez prévenu dès qu'elles refont surface.
Chiffrement SSL, Conforme RGPD & Résiliable à tout moment
Avertissement : Ceci n'est pas un conseil juridique. Cet article est fourni à titre d'information en cybersécurité. Les fuites évoquées reposent sur des revendications publiées par leurs auteurs présumés et n'ont pas été confirmées officiellement par les organisations citées. En cas de débit frauduleux, contactez sans délai votre banque et, si nécessaire, déposez plainte.