BlogDroit du numériqueProtection des données & vie privéeFuite de données Gold Union (avril 2026) : IBAN et carte d’identité exposésFuite de données Gold Union (avril 2026) : IBAN et carte d’identité exposés
Le 2 avril 2026, une fuite de données touchant Gold Union a été signalée. Parmi les données exposées figurent des IBAN, des copies de carte d’identité, des adresses postales et des factures — des informations particulièrement sensibles exposant les victimes à des risques de fraude bancaire et d’usurpation d’identité. Si vous êtes client Gold Union, voici ce que vous devez faire immédiatement et quels sont vos droits.
Fuite de données Gold Union : ce qu’il faut retenir et comment réagir
Une violation de données touchant Gold Union a été signalée le 2 avril 2026. Les données exposées incluent les nom et prénom, l’adresse postale, la carte d’identité, des factures et l’IBAN des clients concernés. La combinaison IBAN + carte d’identité constitue un risque particulièrement grave d’usurpation d’identité et de fraude bancaire. Les victimes peuvent déposer plainte auprès de la CNIL, exercer leurs droits RGPD et engager une action en réparation — y compris pour préjudice moral, sans avoir à prouver de fraude concrète.
Qui est Gold Union ? Ce que le secteur d’activité révèle
Gold Union est spécialisé dans le rachat et la vente d’or et de métaux précieux aux particuliers — bijoux, pièces, lingots, argenterie — avec près de 100 agences en France. Cette activité implique, par obligation légale, la vérification d’identité systématique de tout vendeur (article L.321-12 du Code de la sécurité intérieure), ce qui explique la présence de copies de cartes d’identité dans la base de données exposée.
Cela signifie que les données exposées ne décrivent pas un client anonyme d’une enseigne généraliste. Elles décrivent une personne qui, à un moment donné, a vendu des objets précieux, dont on connaît désormais l’identité complète, l’adresse, le compte bancaire utilisé pour recevoir le paiement, et possiblement la valeur des biens cédés via les factures exposées. C’est une combinaison particulièrement exploitable par des fraudeurs spécialisés dans l’ingénierie sociale ciblée ou les arnaques patrimoniales.
La collecte de la carte d’identité lors d’une transaction d’or est une obligation légale anti-blanchiment. Ce n’est pas une faute de Gold Union d’avoir collecté ces données — mais c’en est une de ne pas les avoir suffisamment protégées.
L’incident Gold Union : les données exposées
| Catégorie | Données exposées | Risque principal |
|---|---|---|
| Identité civile | Nom, prénom | Usurpation d’identité |
| Coordonnées | Adresse postale | Phishing ciblé, haméçonnage postal |
| Document officiel | Carte d’identité | Usurpation d’identité complète, fraude aux crédits |
| Documents financiers | Factures | Reconstitution de profil, ingénierie sociale |
| Données bancaires | IBAN | Fraude par prélèvement non autorisé, usurpation bancaire |
Identité civile
Données : Nom, prénom
Risque : Usurpation d’identité
Coordonnées
Données : Adresse postale
Risque : Phishing ciblé
Document officiel
Données : Carte d’identité
Risque : Usurpation complète, fraude aux crédits
Documents financiers
Données : Factures
Risque : Ingénierie sociale
Données bancaires
Données : IBAN
Risque : Prélèvement non autorisé
🚨 Pourquoi cet incident est particulièrement grave
La combinaison carte d’identité + IBAN + adresse postale + factures constitue un profil complet permettant à des fraudeurs d’ouvrir des crédits à votre nom, d’initier des prélèvements bancaires non autorisés, ou de se faire passer pour vous dans des démarches administratives. De plus, l’IBAN exposé est le compte sur lequel Gold Union a viré le produit de votre vente d’or — un fraudeur peut déduire que ce compte a reçu des fonds récemment, ce qui le rend encore plus ciblé.
Ce que dit le RGPD : obligations de Gold Union
Notification à la CNIL sous 72 heures
L’article 33 du RGPD impose au responsable de traitement de notifier toute violation de données à la CNIL dans un délai de 72 heures après en avoir pris connaissance. Le non-respect de ce délai constitue un manquement supplémentaire pouvant alourdir les sanctions.
Information des personnes concernées
L’article 34 du RGPD impose d’informer directement les personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Au regard des données exposées (IBAN, carte d’identité), ce risque élevé est ici indiscutable.
Obligation de sécurité
L’article 32 du RGPD imposait à Gold Union la mise en place de mesures techniques et organisationnelles appropriées pour protéger les données de ses clients. Être victime d’une cyberattaque n’exonère pas le responsable de traitement de ses obligations RGPD.
Les sanctions prévues par le RGPD en cas de manquement peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Vos droits en tant que client concerné
Droit d’accès (article 15 RGPD)
Vous pouvez demander à Gold Union la liste précise des données vous concernant qui ont été exposées. Gold Union doit vous répondre dans un délai d’un mois.
Droit à l’effacement (article 17 RGPD)
Vous pouvez demander la suppression de vos données si elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées.
Plainte auprès de la CNIL
Vous pouvez déposer une plainte en ligne sur cnil.fr/fr/plaintes.
Votre droit à indemnisation (article 82 RGPD)
L’article 82 du RGPD prévoit un droit à réparation pour toute personne ayant subi un dommage matériel ou moral. La jurisprudence européenne est établie : la simple perte de contrôle sur ses données personnelles constitue un préjudice moral indemnisable (CJUE, 14 décembre 2023). Les indemnisations accordées par les tribunaux français varient généralement entre 500 € et 1 500 € par personne — davantage en présence de données bancaires ou d’un document d’identité.
👉 Mes données bancaires (IBAN) ont été volées : quels risques concrets ?
Un IBAN seul ne suffit pas à vider un compte, mais il permet d’initier des prélèvements SEPA non autorisés. Associé à votre nom, adresse et carte d’identité, le risque est bien plus grave : ouverture de crédits à votre nom, souscription d’abonnements frauduleux, création de faux comptes. Surveillez vos relevés bancaires et signalez immédiatement toute opération non reconnue à votre banque.
👉 Ma carte d’identité a été exposée dans la fuite Gold Union : que faire ?
Signalez immédiatement à la préfecture ou sous-préfecture que votre document a été compromis. Vous pouvez demander le renouvellement préventif de votre carte d’identité. Déposez également un signalement à la CNIL et conservez la preuve de la fuite. En cas d’usurpation d’identité avérée, déposez plainte au commissariat ou à la gendarmerie.
Démarches pas à pas : se protéger
Étape 1 — Vérifiez si votre adresse email est compromise
Utilisez le widget ci-dessous pour vérifier si votre adresse email apparaît dans des fuites de données connues.
Étape 2 — Surveillez vos comptes bancaires
Vérifiez immédiatement vos relevés et alertez votre banque en cas de prélèvement non reconnu. Vous avez 13 mois pour contester un prélèvement SEPA non autorisé.
Étape 3 — Signalez la compromission de votre carte d’identité
Contactez votre préfecture pour signaler la compromission de votre document d’identité. Un renouvellement préventif peut être demandé.
Étape 4 — Exercez vos droits auprès de Gold Union
Adressez un courrier recommandé avec accusé de réception au DPO de Gold Union pour exercer votre droit d’accès (article 15 RGPD) et demander la liste exacte des données exposées vous concernant.
Étape 5 — Signalez à la CNIL
Déposez un signalement sur signal.cnil.fr. Ce signalement constitue un élément de preuve utile si vous engagez une action en indemnisation.
Étape 6 — Consultez un avocat si vous subissez un préjudice
Un avocat spécialisé en droit du numérique peut vous aider à maximiser vos chances d’obtenir réparation, même sans fraude avérée.
Consultez Cybermalveillance.gouv.fr pour obtenir des conseils personnalisés en cas de dommages causés par une cyberattaque.
Widget : mon adresse email a-t-elle été compromise ?
Mon adresse email a-t-elle été compromise ?
Entrez votre adresse ci-dessous pour vérifier si elle apparaît dans une fuite de données connue.
Veuillez saisir une adresse email valide.
Récapitulatif : droits des victimes et obligations de Gold Union
| Obligation / Droit | Qui | Détails |
|---|---|---|
| Notification CNIL | Gold Union | Sous 72 heures (article 33 RGPD) |
| Information des personnes | Gold Union | Risque élevé avéré (article 34 RGPD) |
| Sécurité des données | Gold Union | Mesures appropriées requises (article 32 RGPD) |
| Droit d’accès | Victime | Données exposées vous concernant (article 15 RGPD) |
| Droit à l’effacement | Victime | Suppression de vos données (article 17 RGPD) |
| Plainte CNIL | Victime | En ligne sur signal.cnil.fr |
| Action en réparation | Victime | Préjudice moral indemnisable — 500 € à 1 500 €+ (article 82 RGPD) |
Notification CNIL
Gold Union — Sous 72 heures (article 33 RGPD)
Information des personnes
Gold Union — Risque élevé avéré (article 34 RGPD)
Sécurité des données
Gold Union — Article 32 RGPD
Droit d’accès
Victime — Article 15 RGPD
Droit à l’effacement
Victime — Article 17 RGPD
Plainte CNIL
Victime — signal.cnil.fr
Action en réparation
Victime — 500 € à 1 500 €+ (article 82 RGPD)
🚨 En résumé : La fuite Gold Union expose des personnes ayant vendu de l’or, identifiables par leur nom, adresse, carte d’identité, IBAN et factures. C’est un profil particulièrement exploitable pour la fraude patrimoniale et l’usurpation d’identité. Vérifiez vos comptes bancaires, signalez la compromission de votre carte d’identité à votre préfecture, et déposez un signalement à la CNIL si vous êtes concerné.
Vous êtes victime de la fuite de données Gold Union et souhaitez être accompagné ? Décrivez votre situation pour être mis en relation avec un avocat spécialisé en droit du numérique.
Les questions des internautes
Un IBAN permet d’initier des prélèvements SEPA non autorisés. Combiné au nom, à l’adresse et à la carte d’identité exposés, le risque monte : ouverture de crédits, abonnements frauduleux, faux comptes.
Délai pour contester un prélèvement SEPA non autorisé : 13 mois. Signalez immédiatement toute opération non reconnue à votre banque.
Démarches immédiates :
1. Signaler la compromission à la préfecture (renouvellement préventif possible)
2. Déposer un signalement sur signal.cnil.fr
3. Conserver la preuve de la fuite
En cas d’usurpation avérée : dépôt de plainte au commissariat ou gendarmerie.
Oui, Gold Union est responsable en tant que responsable de traitement (article 32 RGPD). Une cyberattaque ne l’exonère pas.
L’article 82 RGPD + CJUE du 14 décembre 2023 : la simple perte de contrôle sur ses données est un préjudice moral indemnisable, sans fraude concrète à prouver.
.png)
