Searcher : 1,2 milliard de données de Français exposés
Un adolescent de 18 ans, connu sous le pseudonyme Zalco, a lancé début juin 2026 un moteur de recherche nommé Searcher qui centralise 1,2 milliard de données personnelles volées à des Français. Coordonnées bancaires, numéros de Sécurité sociale, rendez-vous médicaux, données de fonctionnaires, adresses et numéros de passeport : tout était accessible en quelques clics, gratuitement jusqu’au 15 juin, puis contre 10 euros la semaine. Le 12 juin 2026, la ministre déléguée à l’IA et au Numérique Anne Le Hénanff a saisi la justice via l’article 40 du Code de procédure pénale. Cet article décrypte le fonctionnement de Searcher, les raisons de la saisine ministérielle, et surtout la marche à suivre concrète pour vérifier si vos données s’y trouvent et demander leur suppression.
L’outil : Searcher, un moteur de recherche lancé début juin 2026 par un créateur de 18 ans pseudonyme Zalco, qui agrège 1,2 milliard de données personnelles de Français issues de 127 sources.
Les données exposées : noms, adresses, e-mails, téléphones, numéros de Sécurité sociale, IBAN, passeports, plaques d’immatriculation, rendez-vous médicaux et données de fonctionnaires.
La réaction gouvernementale : le 12 juin 2026, Anne Le Hénanff (ministre IA et Numérique) a saisi la justice via l’article 40 du Code de procédure pénale, pour collecte illicite et violation du RGPD.
La position de la CNIL : ces services ne sont « pas conformes à la législation » car ils compilent des données issues de violations, infraction au RGPD et au Code pénal.
Votre réflexe : vérifiez dès maintenant si vos données sont indexées via notre méthode dédiée et faites jouer votre droit à la suppression, en parallèle du dépôt de plainte.
Qu’est-ce que Searcher, ce moteur qui expose 1,2 milliard de données personnelles de Français ?
Searcher est un moteur de recherche accessible via un site web qui agrège automatiquement des données personnelles de citoyens français. Selon les révélations de plusieurs médias, dont 20 Minutes et Orange Actu, la plateforme référençait 1,2 milliard de fiches au moment de sa médiatisation, soit l’équivalent de la population française multipliée par dix-sept. Chaque fiche peut contenir plusieurs dizaines de champs par individu.
Lancée début juin 2026 (le média Le Singulier écrivait « il y a dix jours » au 13 juin), la plateforme a été initialement signalée par des enseignants d’un collège de l’Essonne, surpris de voir leurs données personnelles directement accessibles aux élèves. C’est cette alerte dans un cadre scolaire qui a déclenché l’emballement médiatique et la réaction du gouvernement, comme le raconte CommentÇaMarche.
Le modèle économique est explicite : un essai gratuit jusqu’au 15 juin 2026, puis un abonnement à 10 euros la semaine, 35 euros par mois, ou 75 euros par an, avec une hausse tarifaire annoncée. Pour 10 euros, n’importe qui peut chercher un nom, un numéro, une adresse, et obtenir une fiche exhaustive sur la cible, sans contrôle d’identité préalable.
Quelles catégories de données Searcher mettait-il à disposition ?
La plateforme ne se contentait pas d’agréger des annuaires publics. Elle référençait, pour chaque fiche individuelle, un nombre impressionnant de champs sensibles :
Identité civile : nom, prénoms, date et lieu de naissance, photographie.
Coordonnées : adresses postales, e-mails, numéros de téléphone portable et fixe.
Données bancaires et fiscales : IBAN, numéro de Sécurité sociale, avis d’imposition.
Données d’identification officielles : numéros de passeport, plaques d’immatriculation.
Données de santé : centre de soins, rendez-vous médicaux, nombre d’enfants, professionnels de santé consultés.
Données de proximité : membres de la famille, proches de figures publiques, agents de la fonction publique « censés être protégés » selon 20 Minutes.
Comme nous l’avons documenté dans notre guide sur les fuites de données médicales, l’exposition de données de santé est juridiquement la plus grave : elle tombe sous le coup du secret médical et de l’article 226-1 du Code pénal relatif à la vie privée.
Comment fonctionne Searcher, le « Google des pirates » qui croise 127 sources ?
L’originalité technique de Searcher n’est pas d’avoir piraté une nouvelle base : c’est d’avoir automatisé le recoupement de 127 sources distinctes, dont une partie issue de piratages déjà diffusés sur le dark web. Le créateur l’explique lui-même dans un échange relayé par Le Singulier : « On a créé un logiciel qui fouille automatiquement partout sur Internet. Il fait tous les liens possibles, retrouve les bases de données publiques et rassemble tout. »
Parmi les 127 sources « ouvertes et publiques » revendiquées par le créateur, on trouve des plateformes administratives, des opérateurs de services en ligne et des bases de l’Insee. Mais le cœur du problème, c’est le croisement : en reliant une même personne à travers des dizaines de fuites distinctes, Searcher reconstitue un profil beaucoup plus complet que chacune des fuites isolées. C’est ce que l’on appelle une attaque par corrélation, et c’est la méthode la plus redoutable en cybercriminalité depuis 2024.
Pourquoi le modèle freemium aggrave-t-il l’impact ?
L’accès gratuit pendant les dix premiers jours a permis une diffusion virale sur les réseaux sociaux, en particulier sur TikTok et X, où de nombreux créateurs ont publié des tutoriels « pour vérifier si votre copain vous a trompé » ou « pour retrouver un vieil ami ». Cette viralité a plusieurs conséquences graves :
Multiplication exponentielle des consultations, estimée à plusieurs millions de recherches en moins d’une semaine.
Capture d’écran massive des fiches par des tiers, créant des copies parallèles impossibles à supprimer.
Utilisation à des fins de harcèlement, de doxxing, de chantage et d’usurpation d’identité.
En agrégeant autant de données vérifiées sur une même cible, Searcher transforme en opération à 10 euros ce qui nécessitait auparavant des compétences techniques avancées :
Hameçonnage ciblé (spear phishing) : un escroc dispose désormais du nom, de l’adresse, du médecin traitant et de l’IBAN de sa victime pour crédibiliser un message frauduleux.
Usurpation d’identité bancaire : la combinaison IBAN, date de naissance et numéro de Sécurité sociale suffit à compromettre plusieurs procédures KYC de banques en ligne.
Harcèlement et violences conjugales : une victime de violences peut être retrouvée malgré un changement d’adresse, si son IBAN, sa plaque d’immatriculation ou son médecin figurent encore dans la base.
Pour comprendre comment vérifier si votre adresse mail circule déjà sur le dark web, consultez notre guide dédié à la détection des fuites. Pour la réaction immédiate en cas de compromission, notre checklist post-piratage détaille les sept étapes critiques.
✅ À faire dès aujourd’hui
Vérifier manuellement si votre nom, numéro de téléphone et adresse apparaissent dans Searcher avant le 15 juin 2026.
Demander la suppression de vos données via le formulaire de contact de Searcher, puis conserver une preuve écrite (capture d’écran datée).
Activer la double authentification sur vos comptes bancaires, e-mails et impôts, en priorité.
Déposer plainte sur la plateforme THESEE du ministère de l’Intérieur si vous êtes concerné.
❌ À éviter absolument
Payer l’abonnement Searcher « pour voir ce qu’on trouve sur vous » : vous alimentez la base et confirmez la valeur marchande de vos données.
Partager des captures d’écran de fiches sur les réseaux sociaux, même pour alerter : vous diffusez vous-même des données de tiers.
Compter uniquement sur la suppression Searcher : les copies écran et les bases amont (dark web) ne disparaissent pas.
Réutiliser le même mot de passe entre vos comptes sensibles, surtout si l’un d’eux figure dans la fuite.
Pourquoi Anne Le Hénanff a-t-elle saisi la justice et que risque le créateur de Searcher ?
Le 12 juin 2026, Anne Le Hénanff, ministre déléguée chargée de l’Intelligence artificielle et du Numérique, a annoncé sur BFMTV avoir saisi la justice via l’article 40 du Code de procédure pénale. Cet article oblige toute autorité publique à signaler au procureur de la République tout fait susceptible de constituer un délit ou un crime dont elle a connaissance. C’est une procédure d’urgence, et le symbole est fort : c’est la première fois qu’un ministre en charge du numérique déclenche ce mécanisme pour un service d’agrégation de données piratées.
Plusieurs qualifications pénales sont envisageables contre le créateur, connu sous les pseudonymes Zalco (selon 20 Minutes) ou Zalko (selon Orange Actu), âgé de 18 ans, donc mineur au sens de la loi pénale au moment des faits s’ils ont débuté en 2025, mais majeur s’ils ont bien démarré en juin 2026 :
Collecte frauduleuse de données personnelles (article 226-18 du Code pénal) : jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.
Traitement de données à caractère personnel en violation du RGPD : jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros d’amende pour une personne morale, 1,5 million pour une personne physique.
Recel de données issues de violation (article 321-1 du Code pénal) : jusqu’à 5 ans et 375 000 euros d’amende.
Atteinte au secret des correspondances si les e-mails ont été interceptés (article 226-15) : jusqu’à 1 an et 45 000 euros.
Que dit la CNIL sur la légalité de Searcher ?
La Commission nationale de l’informatique et des libertés (CNIL) a pris position très clairement : ces services « n’apparaissent pas conformes à la législation » car « ils fonctionnent en compilant les données issues de violations de données », ce qui constitue une double infraction au RGPD et au Code pénal. La CNIL peut agir de manière concurrente à la justice pénale : elle peut notifier une mise en demeure, prononcer des sanctions pécuniaires, et ordonner la cessation du traitement sous astreinte.
Cette sévérité s’inscrit dans un mouvement de fond. Comme nous l’analysons dans notre article sur les sanctions CNIL 2026 et l’État dans le viseur, le régulateur français a sensiblement durci sa doctrine depuis 18 mois, et le cas Searcher pourrait servir de précédent pour accélérer la fermeture de services similaires déjà en ligne.
⚠ ATTENTION : délai de suppression anormalement long
Selon CommentÇaMarche, Searcher imposait un délai de 29 jours pour traiter les demandes de suppression, via un formulaire Discord. C’est très largement au-dessus du délai d’un mois maximum prévu par le RGPD (article 12), et surtout incompatible avec l’urgence d’une fuite de données. Toute plateforme qui dépasse un mois sans réponse motivée s’expose à une sanction CNIL et à un référé devant le tribunal administratif.
Comment savoir si vos données sont dans Searcher et comment les faire supprimer ?
Même si la plateforme finit par être fermée par décision de justice, vos données y ont été consultées, capturées et probablement recopiées. Le risque n’est pas Searcher en tant que tel, c’est la diffusion secondaire, sur Telegram, sur des clés USB échangées entre particuliers, ou dans des bases que des concurrents lanceront dans les prochaines semaines. Voici la marche à suivre concrète, étape par étape.
Étape 1 : vérifier votre exposition sur au moins trois canaux
Ne vous limitez pas à Searcher. Une fiche agrégée signifie que vos données sont nécessairement présentes dans au moins une des 127 sources amont. Pour mesurer l’ampleur réelle, croisez ces trois vérifications :
Vérification directe : avant le 15 juin 2026 et la mise en place du paywall, testez votre nom complet, votre numéro de téléphone, votre adresse postale et votre e-mail sur l’interface publique de Searcher.
Vérification dark web : utilisez le service Have I Been Pwned ou la version française Vérifiez-vos-data pour identifier quelles fuites vous concernent.
Vérification moteurs alternatifs : testez aussi des plateformes comme LeakCheck, IntelligenceX ou des agrégateurs similaires déjà connus des chercheurs en sécurité.
Étape 2 : demander la suppression et conserver la preuve
Envoyez un message clair à l’opérateur de Searcher (par e-mail et via Discord) en invoquant les articles 15 et 17 du RGPD (droit d’accès et droit à l’effacement), avec copie à la CNIL. Faites-le par écrit recommandé ou, à défaut, par e-mail avec accusé de réception. Conservez :
La capture d’écran de votre fiche Searcher datée (avec horodatage visible).
Le message de demande de suppression, avec la date d’envoi.
Toute réponse de l’opérateur, ou l’absence de réponse après 30 jours.
Étape 3 : déposer plainte et notifier la CNIL
Si vous figurez dans Searcher, déposez plainte en parallèle. Trois voies sont possibles :
Commissariat ou gendarmerie, avec l’ensemble des captures d’écran comme pièces.
Plateforme THESEE (Traitement Harmonisé des Enquêtes et Signalements pour les E-Escroqueries) sur le site du ministère de l’Intérieur.
Signalement en ligne à la CNIL via son formulaire dédié, qui peut déclencher une procédure collective.
Si vous gérez les données de clients ou de salariés dans le cadre de votre activité, ce cas rappelle aussi que la chaîne des sous-traitants RGPD reste le maillon faible que la CNIL sanctionne désormais systématiquement.
Searcher, début d’une vague : pourquoi les moteurs de données piratées vont se multiplier ?
Clément Domingo, alias SaxX, hacker éthique et figure française de la cybersécurité, a livré sur franceinfo une analyse lucide de la dynamique à l’œuvre : « Quand vous coupez la tête de l’un d’eux, vous en avez automatiquement deux ou trois qui repoussent. » Il ajoute : « Il y a des gens qui ont compris qu’ils pouvaient se faire de l’argent sur la compilation de ces bases de données », et conclut, sans détour : « les données se retrouveront à vie sur internet. »
Searcher n’est en effet que le premier service grand public à industrialiser le modèle économique. Plusieurs signaux convergent pour prédire une multiplication de ces plateformes dans les 12 prochains mois :
Stock disponible : le nombre cumulé de fuites publiées depuis 2020 dépasse 15 milliards de fiches, dont 1,2 milliard agrégées par Searcher. Le réservoir est immense.
Modèle économique prouvé : un abonnement à 10 euros la semaine sur des centaines de milliers d’utilisateurs génère un chiffre d’affaires rapide avec un coût technique marginal.
Effet de copie : le code de Searcher a probablement déjà été dupliqué par des concurrents, et de nouveaux services apparaîtront dès la fermeture du premier.
Faut-il changer de numéro, d’adresse e-mail ou de banque ?
C’est la question que se posent beaucoup de Français concernés. La réponse est nuancée : un changement d’e-mail et de numéro est utile si vous êtes dans une situation à risque (figure publique, victime de harcèlement, changement d’adresse post-violences conjugales), mais il ne résout pas le problème de fond. Le vrai changement structurel est ailleurs :
Adopter des alias d’e-mail via SimpleLogin, Addy.io ou les alias iCloud+ pour ne plus jamais donner votre adresse principale à un service.
Utiliser un numéro de téléphone secondaire dédié aux inscriptions non essentielles, via un forfait eSIM prépayé.
Activer le signalement PHAROS et la fonction « floutage » de Google pour les contenus qui vous concernent.
Demander le gel de votre fichier bancaire auprès de votre banque en cas d’IBAN compromis, pour bloquer les prélèvements non autorisés.
L’arrivée de Searcher doit être lue comme un signal d’alarme, pas comme un cas isolé. La résilience numérique ne se construit plus en réaction à une fuite, elle s’anticipe par l’hygiène quotidienne des identifiants, la diversification des canaux de contact et la veille active de son exposition.
Questions fréquentes sur Searcher et la fuite de 1,2 milliard de données (FAQ)
Qu’est-ce que Searcher exactement et qui se cache derrière ? ▼
Searcher est un moteur de recherche lancé début juin 2026 par un créateur de 18 ans qui se fait appeler Zalco (selon 20 Minutes) ou Zalko (selon Orange Actu). La plateforme agrège automatiquement des données issues de 127 sources distinctes, dont des fuites piratées diffusées sur le dark web, pour proposer 1,2 milliard de fiches individuelles sur des Français.
Pourquoi Anne Le Hénanff a-t-elle saisi la justice via l’article 40 du CPP ? ▼
La ministre déléguée à l’IA et au Numérique a considéré que Searcher constituait une infraction pénale caractérisée : collecte frauduleuse de données personnelles, recel de données issues de violation, et traitement illicite au sens du RGPD. L’article 40 du Code de procédure pénale oblige toute autorité publique à signaler au procureur tout délit dont elle a connaissance, et c’est ce qu’elle a fait le 12 juin 2026 sur BFMTV.
Comment vérifier gratuitement si mes données sont dans Searcher ? ▼
Avant le 15 juin 2026, l’accès à Searcher est encore gratuit. Vous pouvez tester votre nom complet, votre numéro de téléphone, votre adresse postale et votre e-mail directement sur la plateforme. En complément, croisez avec Have I Been Pwned et des moteurs spécialisés dark web pour identifier les fuites amont qui vous concernent. Notre guide dédié à la vérification des fuites e-mail détaille la procédure complète.
Quel est le délai légal de suppression de mes données ? ▼
Le RGPD fixe à un mois maximum le délai de réponse à une demande d’accès ou d’effacement (article 12). Searcher imposait 29 jours via Discord selon CommentÇaMarche, ce qui est juridiquement discutable. Sans réponse dans le mois, vous pouvez saisir la CNIL et déposer plainte pour non-respect du droit à l’effacement.
Searcher est-il le premier service de ce type en France ? ▼
Non, des plateformes comme snusbase, LeakCheck ou IntelligenceX opèrent depuis plusieurs années à l’international. Mais Searcher est le premier service à industrialiser le modèle en français, avec une interface grand public, un prix attractif et un ciblage explicite des citoyens français. C’est ce qui explique la réaction rapide des pouvoirs publics et la médiatisation massive du dossier.
Alexi Tauzin 🛡️ Éditeur & Expert Cyber
Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
