Ce 18 février , les médias révélaient qu’une fuite de données avait touché l’application Ficoba (Fichier National des comptes bancaires) de la Direction générale des Finances publiques, exposant potentiellement 1,2 million de comptes bancaires de contribuables.
Cette application, qui contient des données sensibles, est indispensable aux agentes et agents pour consulter les comptes bancaires dans le cadre de leurs missions de contrôle et de recouvrement. La fuite a été rendue possible par la récupération frauduleuse des identifiants d’un agent par un cybercriminel. La communication de la Direction Générale sur cet incident est restée particulièrement discrète. Pourtant, il s’agit d’un incident majeur, révélateur de fragilités plus profondes : la concentration de données sensibles au sein des systèmes de l’État attire inévitablement les cyberattaques, alors même que les mesures de sécurité ne sont pas toujours à la hauteur des enjeux.
Depuis plusieurs mois, les fuites de données dans les administrations se multiplient. La DGFiP n’est pas un cas isolé : d’autres services publics ont été touchés, y compris le Ministère de l’Intérieur fin 2025.
Des conséquences concrètes pour les usagers
Pour les usagers et usagères, les risques sont bien réels : fraude, usurpation d’identité, perte de confiance dans la capacité de l’État à protéger leurs données.
Les personnes concernées, qui seront prévenues par courriel par la DGFiP et les banques, risquent également des arnaques ciblées : des fraudeurs peuvent se faire passer pour de faux créanciers et tenter de mettre en place des prélèvements frauduleux à partir de l’IBAN.
Chaque fuite fragilise un peu plus le lien de confiance entre la population et l’administration fiscale, lien pourtant essentiel au consentement à l’impôt .
Des agentes et agents en première ligne
Aujourd’hui, les informations circulent massivement entre administrations ainsi qu'avec les banques. Cette ouverture des données peut répondre à des besoins opérationnels, notamment pour les contrôles, mais elle comporte des risques importants et doit, en contrepartie, être la plus sécurisée possible.
Il existe aujourd’hui des mesures simples et largement connues du grand public qui permettent de réduire ces risques, même si elles ne sont pas parfaites, comme l’authentification à double facteur (un mot de passe complété par un code reçu par SMS, par exemple), déjà utilisée pour les services bancaires en ligne.
Lorsqu’elles ne sont pas mises en place, ce sont les agentes et agents qui se retrouvent sous pression et parfois mis en cause, alors qu’ils utilisent des outils qu’ils n’ont ni conçus ni choisis, dans un contexte de manque de moyens, de réorganisations successives et de charge de travail accrue.
Une responsabilité collective, pas individuelle
La sécurité des systèmes d’information ne peut pas reposer uniquement sur la vigilance des agentes et des agents de la DGFiP.
La formation et la sensibilisation sont nécessaires, mais elles ne suffisent pas lorsque les systèmes sont complexes, très interconnectés ou insuffisamment protégés.
Les échanges de données sensibles entre administrations et avec les banques multiplient les points de vulnérabilité : chaque nouvelle interconnexion crée un risque supplémentaire si elle n’est pas accompagnée de garanties solides.
Pour Solidaires Finances Publiques, ce ne sont pas les agentes et agents qui sont en cause, mais des choix politiques qui ont privilégié les nouveaux projets informatiques, au détriment de la sécurisation d’applications historiques pourtant critiques comme Ficoba.
Protéger les données, c’est protéger les usagers et les usagères, les agentes et les agents et la crédibilité de l’administration fiscale.
Dans un contexte de menaces numériques durables, la sécurité des systèmes d’information n’est pas un sujet technique secondaire : elle conditionne la confiance dans le service public et, à terme, le consentement à l’impôt.