C'est quoi l'usurpation d'identité, et comment savoir si ça m'est arrivé ?

Réponse rapide

L'usurpation d'identité, c'est quand quelqu'un utilise vos informations personnelles — nom, date de naissance, numéro de pièce d'identité, coordonnées bancaires — pour ouvrir des comptes, prendre des crédits, faire de fausses déclarations fiscales ou commettre des délits en votre nom ; les signaux d'alerte incluent un refus inattendu de crédit, des comptes inconnus sur votre profil bancaire, du courrier pour des prêts non demandés, un avis fiscal pour des revenus que vous n'avez pas perçus, et des appels d'huissiers pour des dettes qui ne sont pas les vôtres.

Ce que ce n'est PAS

L'usurpation d'identité n'est PAS la même chose qu'un seul prélèvement frauduleux sur la carte (ça, c'est de la fraude à la carte, plus simple à corriger) et ce n'est PAS un phénomène uniquement américain — la CNIL et la Banque de France remontent des cas en hausse chaque année, surtout depuis les grandes fuites françaises de 2024. Et ce n'est PAS quelque chose que l'on règle entièrement seul ; banque, registre des comptes, et parfois police doivent être impliqués — mais on peut agir vite et tout récupérer.

Pour aller plus loin

L’usurpation d’identité est le nom générique de tout délit où quelqu’un utilise vos informations personnelles pour agir comme vous — ouvrir des comptes, prendre du crédit, demander des remboursements, signer des contrats, parfois échapper à la justice en votre nom. C’est un problème à combustion lente, à la différence d’une simple fraude à la carte (que la plupart vivent comme un refus en boutique et une carte de remplacement par la poste). Quand cela arrive, les dégâts s’étalent souvent sur des mois : le prêt jamais demandé qui apparaît dans une demande de crédit des années plus tard, l’avis fiscal pour des revenus jamais perçus, la ligne téléphonique que votre nom porte à votre insu.

Les catégories qui comptent en pratique :

  • Fraude aux comptes financiers. Un criminel ouvre un compte bancaire, une carte, un crédit à la consommation, un abonnement téléphonique, ou une option « Paiement en 3 fois » à votre nom. Les échéances sont impayées, et votre nom prend le coup au scoring.
  • Fraude fiscale et aux prestations sociales. Fausse déclaration ou demande de prestation à votre nom, souvent pour rediriger un remboursement. La DGFiP en France, l’IRS américain, le HMRC britannique voient ce phénomène ; le temps de résolution se compte en mois.
  • Usurpation médicale. Moins courante dans le système français de couverture universelle ; très répandue aux États-Unis où le système privé d’assurance permet de facturer des soins au nom d’autrui, ces soins s’attachant ensuite au dossier médical de la victime.
  • Usurpation pénale. Un criminel contrôlé par la police décline votre identité, la contravention voire l’arrestation se retrouve à votre nom. Rare mais long à corriger.
  • Identité synthétique. Un criminel combine un vrai numéro d’identité (souvent celui d’un enfant, qui ne vérifiera pas avant des années) avec d’autres données fabriquées pour construire une « personne » capable de prendre du crédit. Variante en plus forte croissance aux États-Unis et en Europe.

Comment les criminels obtiennent les données, en 2026 :

  1. Grandes fuites de données. La France a connu une série de fuites majeures en 2024 — opérateurs, banques, services publics, santé — exposant des dizaines de millions d’enregistrements de nom + date de naissance + adresse + parfois numéros de pièces. Une fois un tel jeu de données sur les marchés du dark web, il est revendu et réutilisé des années.
  2. Phishing ciblé sur les pièces d’identité. « Téléversez une photo de votre pièce pour vérifier votre compte » — d’une fausse banque, d’un faux livreur, d’une fausse offre d’emploi, d’un faux site de location. Une fois la photo en main, le criminel a ce qu’il faut pour demander du crédit.
  3. Prise de compte qui expose les documents. Un mot de passe réutilisé donne accès à votre messagerie ; votre messagerie contient les photos de pièce que vous avez envoyées à votre banque il y a dix ans ; l’attaquant les a désormais.
  4. Vol physique. Portefeuilles volés, vol au courrier, papiers non broyés.

Les signaux qui méritent une réaction immédiate :

  • Courrier d’une banque, d’un prêteur, d’un opérateur ou d’un fournisseur d’énergie pour un compte que vous n’avez pas ouvert.
  • Demande de crédit refusée pour des motifs que vous ne reconnaissez pas (parce que la même identité vient d’être utilisée).
  • Agence de recouvrement qui appelle pour une dette que vous ne reconnaissez pas.
  • Avis ou retard de remboursement fiscal inattendu.
  • Petites opérations inconnues sur votre compte (« opérations test » avant de plus grosses).
  • Facture nouvelle d’énergie ou de téléphone à votre nom à une adresse que vous ne connaissez pas.

Les 48 premières heures, en cas de suspicion :

  1. Documentez ce que vous avez vu. Courrier, avis, e-mail — capture ou photo.
  2. Contactez chaque établissement financier où vous avez un compte. Demandez l’activation d’alertes fraude. Changez les mots de passe.
  3. En France : contactez la Banque de France, consultez le FICOBA (registre de tous les comptes bancaires ouverts à votre nom) et le FICP (incidents de crédit), envisagez une opposition préventive au FNCI / CNAJF pour les chèques. La CNIL a une page pas-à-pas.
  4. Déposez plainte. En France, pré-plainte en ligne pour les délits liés au numérique, puis rendez-vous au commissariat. La police prend ces dossiers au sérieux et une plainte écrite est en général ce que la banque vous demandera pour effacer les dettes frauduleuses.
  5. Signalez au régulateur si l’origine est une fuite. CNIL en France ; équivalents ailleurs.

Qui paie : en France, la DSP2 et l’article L. 133-19 du Code monétaire et financier font porter la perte à la banque si vous signalez rapidement et n’avez pas commis de négligence grave. Aux États-Unis, la loi plafonne la responsabilité du consommateur pour la fraude carte à 50 $ et la plupart des émetteurs y renoncent. Le délai formel pour contester est généreux sur le papier (13 mois en France) mais agir dans les 48 premières heures améliore drastiquement l’issue pratique.

La prévention est une habitude ennuyeuse, pas un produit. Traitez votre numéro de pièce, votre numéro de sécurité sociale et votre date de naissance complète comme semi-secrets — donnés uniquement aux institutions légalement habilitées. Méfiez-vous de toute « vérification » qui demande le téléversement d’une pièce dans un processus que vous n’avez pas initié. Utilisez des mots de passe uniques sur les comptes qui contiennent votre identité (un gestionnaire de mots de passe le fait gratuitement). Activez la double authentification sur les comptes maîtres qui en gouvernent d’autres (messagerie, banque, portail public). Vérifiez périodiquement les registres qui répertorient les comptes ouverts à votre nom. Rien de tout cela n’est passionnant ; tout cela est ce qui marche vraiment.

On nous pose aussi

Quels sont les premiers signes d'une usurpation d'identité ? +

Plusieurs signaux discrets méritent une réaction immédiate : (1) Courrier d'une banque, d'un prêteur ou d'un opérateur pour un compte que vous n'avez pas ouvert. (2) Une demande de crédit ou de carte refusée que vous n'avez pas faite (parce que le même nom + numéro vient d'être utilisé ailleurs). (3) Appels d'agences de recouvrement pour des dettes que vous ne reconnaissez pas. (4) Avis fiscal pour des revenus que vous n'avez pas perçus. (5) Facture inattendue d'énergie ou de ligne téléphonique à votre nom. (6) Votre banque qui signale plusieurs petites opérations inconnues (opérations « de test »). Chacun pris isolément peut être un hasard ; deux ensemble, non.

Que faire dans les 48 premières heures en cas de suspicion ? +

Cinq étapes. (1) Documenter ce que vous avez vu, avec captures / photos du courrier ou de l'avis suspect. (2) Contacter chaque établissement financier où vous avez un compte et demander une alerte fraude. (3) En France, contacter la Banque de France pour l'inscription au Fichier Central des Chèques si une chéquier est en cause, et envisager une consultation FICOBA pour voir tous les comptes ouverts à votre nom. (4) Déposer une pré-plainte en ligne, puis prendre rendez-vous au commissariat. (5) Signaler à la CNIL si l'origine est une fuite de données. Conservez les numéros de référence — les banques et prêteurs vous les demanderont.

Comment les criminels obtiennent-ils les données nécessaires ? +

Trois sources principales. (a) Fuites de données — gros jeux de données contenant nom, date de naissance, numéro de pièce, adresse, parfois plus. Les grandes fuites françaises de 2024 (opérateurs, banques, services publics) ont exposé des dizaines de millions d'enregistrements. (b) Phishing — convaincre quelqu'un de téléverser une photo de sa pièce d'identité sous prétexte de « vérification » d'une banque, d'un livreur ou d'une offre d'emploi. (c) Vol physique — portefeuilles volés, courrier volé, vieux papiers non détruits. Les deux premiers dominent désormais largement le troisième.

La banque assume-t-elle la perte, ou moi ? +

En général la banque, si vous signalez rapidement. En France, sous l'article L. 133-19 du Code monétaire et financier, vous n'êtes pas tenu responsable des opérations non autorisées signalées rapidement, sauf négligence grave (PIN écrit sur la carte, mot de passe partagé). Au niveau UE, la DSP2 pose un standard similaire. Aux États-Unis, la loi fédérale plafonne la responsabilité du consommateur pour la fraude à la carte à 50 $, et la plupart des émetteurs renoncent même à cela. Signaler vite est ce qui vous protège — le délai formel en France est de 13 mois après l'opération litigieuse, mais agir dans les 48 premières heures améliore beaucoup l'issue pratique.

Comment prévenir l'usurpation d'identité ? +

Cinq habitudes. (1) Traiter votre numéro de pièce d'identité, votre numéro de sécurité sociale et votre date de naissance complète comme semi-secrets — ne les donner que quand c'est légalement exigé (banques, hôpitaux, employeurs), pas à des sites quelconques. (2) Se méfier de toute « vérification » qui demande le téléversement d'une pièce d'identité, surtout si vous n'avez rien initié. (3) Utiliser des mots de passe uniques ([gestionnaire de mots de passe](/fr/library/everyday/password-manager/)) et la [2FA](/fr/library/everyday/two-factor-authentication/) sur les comptes qui détiennent votre vraie identité (banque, messagerie, portails publics). (4) Broyer ou brûler les papiers contenant vos informations avant de les jeter. (5) Vérifier périodiquement les registres de comptes et de crédit — en France, une consultation FICOBA + FICP annuelle équivaut à l'habitude américaine de surveillance de crédit.

Aussi expliqué

C'est quoi une fuite de données, et que faire si mes informations sont dedans ?

Une fuite de données, c'est quand une organisation qui détient vos informations personnelles en perd le contrôle — votre e-mail, mot de passe, numéro de téléphone, adresse, parfois votre carte bancaire ou pièce d'identité se retrouvent dans un fichier que les attaquants téléchargent et réutilisent ; la réponse pratique est de changer le mot de passe du compte concerné, le changer partout où il était réutilisé, et activer la double authentification.

C'est quoi le phishing, et comment le reconnaître ?

Le phishing (ou hameçonnage), c'est quand quelqu'un vous envoie un message truqué — généralement par e-mail, SMS ou messagerie — qui ressemble à un message de votre banque, de votre patron, d'un livreur ou d'un proche, dans l'espoir que vous cliquiez sur un lien, tapiez un mot de passe ou viriez de l'argent avant de remarquer les petits détails qui trahissent.

Qu'est-ce qu'un gestionnaire de mots de passe, et est-ce sûr d'en utiliser un ?

Un gestionnaire de mots de passe est une application qui génère un mot de passe unique et solide pour chaque compte et les retient pour vous derrière un seul mot de passe maître — oui, c'est nettement plus sûr que de réutiliser le même mot de passe, même si tout est au même endroit.
← Retour au glossaire grand public