Depuis plusieurs mois, un moteur de recherche fait tout pour se faire connaître. Se présentant comme un service agrégeant les données publiques et issues des (nombreuses) fuites qui surviennent en France depuis des années, il permet de chercher très simplement les informations d’une personne. Les critiques sur sa licéité et les retombées sur la vie privée n’ont pas manqué.

Avant toute chose, un point important : Next ne donnera ni son URL ni son nom, même s’ils sont facilement trouvables (et nous vous demandons de faire de même dans les commentaires), notamment pour ne pas leur faire la moindre publicité gratuite.

Une fenêtre sur les fuites de données et leurs dangers

Le site apparait sous une forme simple : on s’inscrit avec son email puis on lance une recherche sur un nom et un prénom, par exemple. Les résultats apparaissent sous forme de liste, les données d’une personne étant réunies dans un cadre. On y retrouve les nom, prénom, adresses email, numéros de téléphone mobile et fixe, l’adresse postale et, selon les cas, des informations beaucoup plus sensibles comme le numéro de sécurité sociale et jusqu’à l’IBAN.

Il s’agit de données provenant des fuites de données massives, comme celles des deux prestataires du tiers payant (Viamedis et Almerys), des comptes avec IBAN de Bouygues Telecom et Free, des associations sportives, etc. Certaines sont datées, d’autres plus récentes, mais on peut assez facilement retrouver des personnes en choisissant les bons mots clés. Toujours sur Discord, les « leaks » récupérés sont listés, le premier remonte à octobre 2015 avec des données des impôts français, puis MYM, Carte Jeune Occitanie, CAF, France Travail, etc.

• Fuite d’IBAN : quels sont les risques, comment se protéger
• Prestataires du tiers payant piratés : la moitié des Français concernés, la CNIL ouvre une enquête

Malheureusement, rien de neuf, aurions-nous presque envie de dire. Les fuites sont monnaie courante depuis des années, les données facilement accessibles sur Internet. Pour Next et des experts en cybersécurité, ce n’est pas une surprise. Ce genre de « service » existe depuis des années, mais ils sont pas contre plus underground, au sein de forums spécialisés plus ou moins référencés, dans des groupes de discussions, également sur des sites, mais plus confidentiels.

La « nouveauté » est ici l’accès gratuit, avec une interface propre et simple à utiliser par n’importe qui, avec une certaine viralité (même si elle est difficile à mesurer). C’est une fenêtre ouverte sur un monde qui n’est généralement autant sous le feu des projecteurs.

Ce site n’est d’ailleurs pas nouveau, à en croire son Discord au début de l’année : « Notre nom de domaine a récemment été supprimé, ce qui nous a obligés à le changer ». Sur le Discord, on peut également voir des guerres de clocher (ou de cour de maternelle quand on voit le niveau de certains échanges) sur qui à le meilleur service, qui copie l’autre, qui était là en premier, etc.

Première dose gratuite, maintenant payez (ou faites la promotion)

La période de « gratuité » est désormais terminée : l’accès est payant depuis ce vendredi. Comptez 10 euros par semaine minimum, sachant que « les prix vont augmenter prochainement », prévient le site. Pour payer, « cryptomonnaies, Paypal, PaySafeCard ou en virement bancaire ». Bien évidemment, on ne peut que vous conseiller de ne pas payer.

Cette bascule devait intervenir le 15 juin, mais elle a été faite plus tôt que prévu : « Le projet a pris une trop grande ampleur et certaines personnes jalouses qui se sont intéressées à des choses qui ne les concernaient pas ont tout fait pour essayer de faire fermer le site et nous apporter des soucis », peut-on lire dans les « annonces ».

Le besoin de viralité est d’ailleurs assumé et même monétisé, comme en témoigne le Discord pas plus tard que cette semaine : « Nous recherchons actuellement des personnes motivées pour nous aider à faire connaître xxx sur les réseaux sociaux et les communautés en ligne. Si vous êtes actif sur TikTok, Snapchat, Instagram, Discord ou toute autre plateforme et que vous souhaitez participer à la promotion du projet, n’hésitez pas à nous contacter. En échange d’une aide régulière et sérieuse, nous pourrons offrir un abonnement à l’un de nos plans payants ».

Retrouver ses proches ? La fausse bonne excuse

Nous avons contacté les gestionnaires du site via le Discord. Plusieurs ont répondu présent, de manière polie. Nous avons pu discuter oralement avec l’un d’eux, qui se fait appeler Zalko, et lui avons posé quelques questions.

Interrogé sur les motivations qui ont mené à la création du site, il nous répond qu’avec plusieurs amis, ils voulaient constituer une base rassemblant « tout ce que l’on peut trouver publiquement et dans les fuites de données ». Il ajoute : « On voulait juste que tout soit au même endroit pour simplifier la vie des gens qui veulent retrouver un proche, un ami ».

Devant les inévitables sujets de la vie privée, des dérives comme le doxxing ou encore le caractère légal du service, Zalko est confiant : « Je ne pense pas que ce soit illégal, parce qu’on peut trouver ces données n’importe où. Nous on a simplement rassemblé tout au même endroit. On s’est beaucoup renseigné sur les textes de lois ».

Et sur l’exploitation malveillante d’une telle masse de données ? « Nous on est clairs, on avertit partout que le doxxing et ces autres pratiques sont interdites. Et on a mis en place en place des protections pour limiter et bloquer le scrapping ».

Nous n’en avons pas appris beaucoup plus, mais la suite a pris rapidement une tournure étrange. Une autre personne, se présentant comme un responsable du site, m’a recommandé de ne pas croire le dénommé Zalko, pourtant rangé dans les « Managers » sur Discord.

Les questions suivantes, notamment sur la licéité du service et son exploitation commerciale, n’ont reçu aucune réponse. « J’ai reçu pour instruction de ne plus vous parler », m’a répondu l’autre personne. Quand on parle de cour de récréation…

 « Sur la forme, c’est manifestement illicite »

Dans un long message signé « l’équipe xxx », les responsables affirment que ce service « est, et a toujours été, un service légal et conforme. Notre outil agrège exclusivement des données publiquement accessibles. Nous ne piratons rien. Nous ne volons rien. Nous ne doxxons personne. Nous ne leakons aucun mail confidentiel. Nous n’intimidons aucun plaignant. Nous ne redirigeons personne vers des sites malveillants. Nous n’avons aucune faille de sécurité exposant les données de nos utilisateurs. Xxx respecte le cadre légal en vigueur, y compris le RGPD. Les données accessibles via notre plateforme sont des données déjà publiques ». Sur un malentendu ?

Concernant le caractère légal d’un tel site, Alexandre Archambault, avocat spécialisé dans le droit du numérique, n’est pas catégorique mais souligne d’importants manques et zones d’ombre. « Sur la forme, c’est manifestement illicite en l’absence de mentions légales conformes à la loi, s’agissant d’un site qui s’adresse au marché français », nous indique l’avocat.

« L’exploitation d’un site internet ne disposant pas de mentions légales conformes à la loi est un délit », ajoute-t-il. Les peines peuvent aller jusqu’à 75 000 euros d’amende et un an d’emprisonnement. S’il s’agit d’une entreprise, l’amende peut s’envoler à 375 000 euros.

Il souligne qu’une telle situation peut relever des dispositions de l’article 323-3-2 du code pénal, avec un risque accru depuis la loi 2025 - 532 du 13 juin 2025. S’agissant d’une structure a priori commerciale, la bande organisée peut être retenue. Les peines encourues changent effectivement d’échelle, puisqu’elles peuvent grimper jusqu’à 10 ans d’emprisonnement et 1 million d’euros d’amende.

Des risques rééls

Projet Arcadie est plus directe : « Techniquement, c’est du recel et cela a été confirmé par la Cour de cassation dans un arrêt du 18 février 2026 ». Tris Acatrine se fait l’écho d’Amélie Bonfanti (cabinet Deshoulières Avocats) : « le fait de bénéficier, en connaissance de cause, d’une information provenant d’un délit peut constituer un recel au sens de l’article 321 - 1, alinéa 2, du Code pénal ».

« L’autre véritable danger réside dans la possibilité qu’une personne très mal intentionnée qui utiliserait ces données, obtenues illégalement, pour faire du mal à quelqu’un d’autre. Dans ce cas, la responsabilité des créateurs de xxx pourrait être engagée », ajoute Projet Arcadie.

Anne Le Hénanff, ministre déléguée chargée du Numérique, affirme à BFMTV avoir saisi la justice en vertu de l’article 40 du code de procédure pénale : « Toute autorité constituée, tout officier public ou fonctionnaire qui, dans l’exercice de ses fonctions, acquiert la connaissance d’un crime ou d’un délit est tenu d’en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs ».

Passez votre chemin, vraiment !

Rappelons enfin qu’il n’est pas du tout recommandé d’utiliser ce genre de service, notamment car vous ne savez pas ce qu’il adviendra de vos données personnelles. Pendant la phase « gratuite », ce site demandait un simple email pour se connecter (avec confirmation), vous pouviez également demander à retirer des informations.

Nous seulement rien ne certifie que cela sera fait, mais même dans le meilleur des cas cela ne les supprime que de ce service… or il en existe des dizaines au bas mot, sans compter les copies des leaks qui sont un peu partout sur Internet. De plus, demander à retirer les données peut confirmer à des pirates que ces données sont encore valables, et qu’elles ont donc une valeur supplémentaire.

Vous voulez savoir si des données personnelles ont fuitées ? Il existe des sites fiables, qui ne donne pas d’information à n’importe qui. Have I Been Pwned en est un. Entrez votre email et vérifiez dans quels leaks il apparait, avec quelles données associées.

Par exemple, mon email est dans cette base qui est disponible sur Internet :