Besoin d'un conseil personnalisé ?

Réservez en 3 clics une consultation avec un avocat expert.

Données personnelles

Phishing ou hameçonnage : que faire si vous êtes victime ?

Profile Image
Par L'équipe DePlano
le 18 août 2025
Blog image

Vous avez reçu un mail de phishing et vous pensez avoir cliqué sur un lien malveillant. Agissez vite : changez vos mots de passe, sécurisez vos moyens de paiement et signalez l’attaque de phishing aux services compétents.

Ce guide explique quoi faire, comment reconnaître un mail frauduleux et comment protéger vos données personnelles.

Sommaire

  1. Phishing ou hameçonnage : définition simple et risques concrets
  2. Comment reconnaître un mail de phishing
  3. Que faire en cas de phishing si vous avez cliqué sur un lien
  4. Victime de phishing : sécuriser vos moyens de paiement et vos comptes
  5. Comment signaler une attaque de phishing
  6. Données personnelles et usurpation d’identité : vos droits et réflexes
  7. Comment se protéger durablement des attaques par phishing
  8. Les attaques de phishing évoluent : rester vigilant
  9. Accédez à l’excellence juridique sur DePlano
  10. FAQ

Phishing ou hameçonnage : définition simple et risques concrets

Le phishing, ou hameçonnage en français, est une technique frauduleuse destinée à leurrer la victime pour l’inciter à communiquer des données personnelles ou bancaires en se faisant passer pour un tiers de confiance, par exemple une banque, un fournisseur d’énergie, un service public ou une plateforme de livraison. L’objectif est de voler des informations comme un mot de passe, un numéro de carte bancaire ou des identifiants de compte. Les attaques de phishing ciblent surtout l’e-mail, mais aussi les SMS et parfois l’appel téléphonique (source : Ministère de l'Économie).

Pourquoi c’est dangereux ? Un message de phishing peut déclencher une usurpation d’identité, des achats en ligne indus, l’accès à votre compte bancaire ou l’infection de votre appareil via une pièce jointe malveillante. En droit pénal, l’accès frauduleux à un système de traitement automatisé de données est un délit puni par le Code pénal (source : Légifrance).

Comment reconnaître un mail de phishing

Repérer un mail de phishing se fait en 3 temps.

D’abord, analysez l’expéditeur et l’objet :

Méfiez-vous des adresses approximatives, des accents manquants et des objets alarmistes du type « paiement urgent » ou « Sécurité Sociale : compte bloqué ».

Ensuite, survolez les liens sans cliquer :

passez la souris sur ce lien ou placez le curseur de votre souris sur l’URL pour afficher le lien complet. Si l’adresse de destination n’a rien à voir avec l’expéditeur ou imite un nom de domaine officiel avec un ajout suspect, il s’agit sûrement d’un mail frauduleux.

Enfin, vérifiez la pièce jointe et le ton général :

fautes, urgence artificielle, demande de moyens de paiement ou de données bancaires, ce sont des signaux d’alerte.

Variante ciblée : le spear phishing.

Dans ces attaques par phishing les plus pernicieuses, l’arnaqueur personnalise le message avec des informations réelles vous concernant afin de paraître crédible. Restez méfiant même si le message mentionne votre entreprise ou un interlocuteur connu.

Astuce

Si le message contient un lien cliquable, si vous avez un doute, n’ouvrez pas l’URL dans le navigateur ; si un message vous demande de vous connecter, tapez manuellement l’adresse du site dans la barre d’adresse au lieu de cliquer sur des liens.

Que faire en cas de phishing : si vous avez cliqué sur un lien

Ayez les réflexes immédiats suivants:

Commencez par déconnecter l’appareil d’Internet si vous avez téléchargé un fichier ou saisi des informations personnelles.

Ensuite, changez le mot de passe du service visé, puis de vos comptes essentiels, et activez l’authentification à deux facteurs.

Si vous avez réutilisé le même mot de passe ailleurs, modifiez-le aussi sur ces services.

Enfin, scannez l’ordinateur ou le téléphone avec un antivirus à jour. Ces gestes simples permettent de limiter l’impact d’une attaque par phishing.

Si vous avez saisi des données bancaires ou de paiement, passez immédiatement à l’étape suivante pour protéger carte et compte bancaire.

Victime de phishing : sécuriser vos moyens de paiement et vos comptes

Si vous avez communiqué un numéro de carte bancaire, contactez dès que possible votre banque pour faire opposition et surveillez vos comptes. En cas de débits frauduleux, contestez par écrit et conservez toutes les preuves. Les tentatives de débit peuvent se répéter : restez vigilant plusieurs semaines.

Si votre IBAN a fuité, surveillez les mouvements et alertez votre banque en cas d’opérations suspectes. Suivez les conseils de la CNIL pour limiter les risques après une fuite de données ou un vol d’IBAN. La CNIL recommande notamment d’exercer vos droits auprès des organismes concernés, de mettre en place des alertes et de rester attentif aux messages inattendus qui vous demandent des données à caractère personnel (source : CNIL).







Protégez vos droits


Avocat experts certifiée. Prix transparents. Commande facile.





 
Trouver mon avocat

Comment signaler une attaque de phishing

Le signalement aide à faire bloquer les adresses frauduleuses et à prévenir de nouvelles victimes.

Plusieurs canaux officiels existent selon le cas :

Signalez les e-mails et les SMS : pour un mail de phishing, utilisez la plateforme Signal Spam. Pour un SMS suspect, transférez-le au 33700. Si vous identifiez le lien de phishing, signalez l’URL à Phishing Initiative afin d’accélérer son blocage dans les navigateurs. Conservez les preuves et, quand c’est possible, alertez l’entité dont l’identité est usurpée.

Signalez l’arnaque aux autorités : si vous êtes victime de phishing, vous pouvez déposer plainte auprès d’un commissariat ou d’une gendarmerie, ou utiliser les services en ligne dédiés aux arnaques sur internet. Le portail Ma Sécurité centralise les démarches et renvoie vers THESEE pour la plainte en ligne lorsque le mode opératoire s’y prête, tandis que Service-Public.fr oriente vers les bons formulaires en fonction de la situation (source : Ma Sécurité).

💡Conseil 

Après une attaque de phishing, archivez le message original, les en-têtes techniques si possible, les captures d’écran et le relevé bancaire où apparaissent d’éventuels débits. Ces éléments seront utiles à la banque, aux enquêteurs et à l’assurance s’il y a lieu.

Données personnelles et usurpation d’identité : vos droits et réflexes

Le phishing peut conduire à une usurpation d’identité ou à une collecte de données à caractère personnel par des moyens frauduleux. La CNIL rappelle que la collecte illicite et l’utilisation trompeuse de données peuvent être pénalement sanctionnées et vous encourage à exercer vos droits d’accès, de rectification, d’effacement et d’opposition auprès de l’organisme à l’origine de la fuite ou du compte usurpé. En cas d’inaction, vous pouvez saisir la CNIL.

Côté pénal, l’accès frauduleux ou la modification de données dans un système de traitement automatisé sont réprimés par le Code pénal. Cela signifie que les agresseurs s’exposent à des poursuites, notamment pour attaque phishing ou intrusion, même si l’usurpation n’a pas encore généré de perte financière.

Comment se protéger durablement des attaques par phishing

La prévention repose sur quelques principes simples.

D’abord, traitez tout message inattendu avec prudence, surtout s'il exige une action immédiate ou un paiementSi vous avez reçu un courriel vous demandant de « vérifier » vos identifiants ou de régulariser un paiement, partez du principe qu’il s’agit d’un message frauduleux et vérifiez par un canal indépendant.

Ensuite, sécurisez l’e-mail : filtre antispam activé, affichage des en-têtes, désactivation de la prévisualisation.

Enfin, adoptez des mots de passe robustes, uniques pour chaque service, et activez systématiquement la double authentification.

Les escroqueries par phishing ciblent fréquemment la sécurité sociale, les impôts, les colis et les remboursements.

Les attaques de phishing évoluent : rester vigilant

Les méthodes de phishing se renouvellent sans cesse. On observe des attaques par phishing plus crédibles, intégrant des logos officiels et des noms réels, et des campagnes saisonnières liées à l’impôt, à la rentrée ou à des fuites médiatisées de données.

Ce contexte renforce l’intérêt d’un diagnostic par un avocat spécialisé en protection des données, notamment si vous êtes victime d’une usurpation ou si des données bancaires ont été utilisées par des fraudeurs se faisant passer pour votre banque.

Accédez à l’excellence juridique sur DePlano

Vous l’avez compris : face à une attaque de phishing, un avocat spécialisé en protection des données personnelles sécurise vos démarches, rédige vos courriers d’exercice de droits, vous assiste en cas d’usurpation d’identité et vous conseille sur la stratégie à adopter.

Sur DePlano, en trois clics, accédez à des avocats ultra-spécialisés, vérifiés pour leur expertise et parfaitement adaptés à votre besoin juridique précis.

Vous comparez les profils, choisissez la prestation adaptée et réservez en ligne, à un prix transparent et connu d’avance.







Trouvez un avocat expert


Expertise certifiée. Prix transparents. Commande facile.





 
Trouver mon avocat

Questions fréquentes

Oui, c’est possible. Le simple fait d’avoir validé une authentification forte ne suffit pas, à lui seul, à prouver que vous avez « autorisé » l’opération. En cas de contestation, c’est à votre banque de démontrer que l’opération était authentifiée, correctement enregistrée et non affectée d’une défaillance technique. Elle ne peut refuser le remboursement qu’en prouvant une fraude de votre part ou une négligence grave. Écrivez rapidement à votre banque, exposez le scénario de manipulation (faux conseiller, usurpation) et, en cas de refus, saisissez le médiateur bancaire.
Vous devez agir « sans tarder » et au plus tard dans les 13 mois suivant le débit pour un paiement dans l’EEE. Hors EEE, le délai est ramené à 70 jours (au plus 120 si le contrat le prévoit). Ne laissez pas expirer ces délais, faute de quoi votre demande peut être déclarée irrecevable.
Demandez immédiatement à votre banque une demande de retour de fonds. Le rappel est plus efficace si le bénéficiaire n’a pas encore déplacé l’argent. Déposez plainte et fournissez toutes les preuves. Le remboursement n’est pas automatique pour un virement autorisé, mais le rappel rapide peut permettre de récupérer les sommes.
Contestez par écrit en relatant précisément les manœuvres d’ingénierie sociale subies. Rappelez que la banque doit prouver la négligence grave et que, par principe, les opérations non autorisées doivent être remboursées rapidement. À défaut d’accord, saisissez le médiateur bancaire puis, si besoin, le juge.
Oui si vous êtes responsable de traitement et que l’incident constitue une violation de données personnelles présentant un risque pour les personnes. La notification à la CNIL doit intervenir « au plus tôt et dans un délai maximal de 72 h ». En cas de risque élevé pour les droits et libertés, vous devez aussi informer directement les personnes concernées. Tenez un registre interne des violations.
Évaluez le risque : nature des données, volume, facilité d’identification des personnes, possibles conséquences (fraude, usurpation d’identité). Si le risque est élevé, l’information directe s’impose, avec des conseils concrets pour se protéger. Appuyez-vous sur la matrice de la CNIL et documentez votre analyse.
Révoquez toutes les sessions actives, supprimez les règles d’auto-transfert ou de redirection créées par l’attaquant, vérifiez les adresses de récupération et les applications tierces autorisées, activez la double authentification puis avertissez vos contacts. Le CERT-FR publie des fiches « Compromission d’un compte de messagerie » utiles pour qualifier et endiguer l’incident.
Vous disposez du droit à l’effacement (article 17 RGPD). Demandez la suppression directement au responsable du site ou du réseau social. Le responsable doit répondre sous un mois, prolongeable à trois en cas de complexité. En cas d’absence ou de refus injustifié, saisissez la CNIL via son formulaire dédié.
Gardez le courriel source avec ses en-têtes complets, les pièces jointes suspectes sans les ouvrir, des captures d’écran montrant l’URL complète, le journal des connexions et les références des opérations contestées. Cybermalveillance.gouv.fr recommande explicitement de conserver le message d’hameçonnage et les preuves techniques pour faciliter les investigations.
À propos de l'auteur
Profile Image

Cet article a été rédigé par l’équipe DePlano. Notre mission : rendre le droit plus simple, plus transparent et plus accessible à tous.

Chaque contenu est co-construit avec des avocats experts pour vous apporter des réponses claires, concrètes et fiables.

Articles recommandés

Blog Image
Profile Image

Victime d’une fuite de données ? Découvrez comment limiter les risques avec un avocat

Par L'équipe DePlano
le 18 août 2025
  • 6 min
Blog Image
Profile Image

7 gestes simples pour protéger votre vie privée sur internet

Par L'équipe DePlano
le 14 août 2025
  • 6 min
Blog Image
Profile Image

RGPD définition : tout comprendre pour protéger vos données

Par L'équipe DePlano
le 14 août 2025
  • 6 min
Blog Image
Profile Image

Créer une filiale en France : le guide complet (2025)

Par L'équipe DePlano
le 13 août 2025
  • 6 min