Chaque jour, des millions de Français envoient leur carte d'identité par email sans y réfléchir. Dossier de location, ouverture de compte, inscription à un service... La demande paraît normale, le geste est devenu banal. Pourtant, envoyer sa pièce d'identité par email revient à afficher ses informations les plus sensibles sur une vitrine que n'importe qui peut regarder.
En 2023, plus de 210 000 cas d'usurpation d'identité ont été signalés en France. Dans la majorité des cas, tout commence par une pièce d'identité transmise par un canal non sécurisé.
Comment fonctionne réellement un email
Pour comprendre le risque, il faut comprendre le mécanisme. Quand vous envoyez un email avec votre carte d'identité en pièce jointe, votre message traverse plusieurs serveurs avant d'arriver à destination. Chacun de ces serveurs peut stocker une copie de votre message.
Imaginez que vous envoyez une carte postale. Chaque facteur qui la manipule peut lire ce qui est écrit dessus. L'email fonctionne de la même manière : votre pièce d'identité transite en clair sur des serveurs que vous ne contrôlez pas.
Même si le transport utilise parfois le protocole TLS (un tunnel chiffré entre serveurs), ce chiffrement est opportuniste : il n'est pas garanti d'un bout à l'autre, et surtout, le fichier reste stocké en clair sur chaque serveur traversé.
Les 5 risques concrets quand vous envoyez votre CNI par email
1. L'interception en transit
Sur un réseau Wi-Fi public (café, hôtel, gare), un attaquant peut intercepter les emails non chiffrés. C'est une technique connue sous le nom de "man-in-the-middle", et elle ne nécessite pas de compétences avancées : des outils gratuits permettent de le faire en quelques clics.
2. Le stockage permanent et incontrôlé
Votre email contenant votre CNI est stocké dans au moins quatre endroits :
- Votre boîte d'envoi
- Le serveur de votre fournisseur email
- Le serveur du fournisseur email du destinataire
- La boîte de réception du destinataire
Même si vous supprimez l'email de votre côté, les trois autres copies existent toujours. Et les sauvegardes des serveurs conservent souvent les données pendant des mois, voire des années.
3. Le piratage de boîte mail
En 2024, des millions de comptes email français ont été compromis lors de fuites de données massives. Quand un pirate accède à une boîte mail, il récupère l'intégralité de l'historique, pièces jointes incluses. Votre carte d'identité envoyée il y a deux ans est toujours là, lisible et exploitable.
4. Le transfert accidentel
Votre destinataire peut transférer l'email à un collègue, l'imprimer, le stocker sur un disque partagé. Vous perdez tout contrôle sur la diffusion de votre document dès que vous appuyez sur "Envoyer".
5. Les fuites massives de données
Les fournisseurs email subissent régulièrement des attaques. En cas de brèche, ce sont des millions de messages et de pièces jointes qui se retrouvent dans la nature, souvent revendus sur le dark web.
Ce qu'un escroc peut faire avec votre carte d'identité
Une copie de votre pièce d'identité entre de mauvaises mains permet de :
- Ouvrir des comptes bancaires à votre nom et contracter des crédits à la consommation
- Souscrire des abonnements téléphoniques (jusqu'à plusieurs milliers d'euros)
- Créer de faux documents (bulletins de paie, avis d'imposition) à partir de vos informations réelles
- Déposer de fausses annonces immobilières pour encaisser des cautions
- Usurper votre identité auprès des administrations : CAF, impôts, Ameli, Pôle emploi
Le préjudice moyen d'une usurpation d'identité en France dépasse 2 000 euros. Les démarches pour rétablir sa situation prennent en moyenne 7 mois, avec un impact psychologique considérable.
"Mon destinataire est de confiance, où est le problème ?"
C'est l'argument le plus courant, et il passe à côté du vrai problème. La question n'est pas de savoir si votre destinataire est honnête. Le risque n'est pas la personne à qui vous envoyez votre CNI, c'est le canal que vous utilisez.
Un agent immobilier de confiance qui reçoit votre CNI par email peut très bien :
- Se faire pirater sa boîte mail six mois plus tard
- Stocker votre email sur un ordinateur partagé
- Utiliser un mot de passe faible sur sa messagerie
- Avoir ses sauvegardes compromises sans même le savoir
Votre pièce d'identité est une bombe à retardement : même si l'envoi se passe bien aujourd'hui, le fichier peut être compromis dans un an.
Les alternatives, classées par niveau de sécurité
| Méthode | Sécurité | Inconvénient principal |
|---|---|---|
| Email classique | Très faible | Transit et stockage en clair |
| SMS / MMS | Très faible | Stocké chez l'opérateur et sur les téléphones |
| WhatsApp / Signal | Moyenne | Chiffré en transit, mais stocké sur les téléphones et sauvegardes cloud |
| Cloud (Drive, Dropbox) | Moyenne | Le fournisseur peut accéder au fichier |
| Chiffrement de bout en bout (E2E) | Élevée | Personne ne peut lire le fichier, même le fournisseur |
Le chiffrement de bout en bout est la seule méthode qui garantit que votre pièce d'identité ne peut être lue que par votre destinataire. Le fichier est chiffré sur votre appareil avant d'être envoyé. Même en cas de piratage du serveur, les données récupérées sont illisibles.
KeyDoc fonctionne sur ce principe : votre document est chiffré avant de quitter votre appareil, et seul votre destinataire peut le déchiffrer. Le serveur ne voit jamais votre fichier en clair.
Les bonnes pratiques si vous devez vraiment envoyer par email
Si vous n'avez pas d'autre option que l'email :
- Ajoutez un filigrane visible sur le document : date, destinataire, mention "copie — ne pas réutiliser"
- Masquez les informations non nécessaires : numéro de carte, code MRZ, lieu de naissance
- Ne mettez jamais recto et verso dans le même email
- Demandez au destinataire de supprimer l'email une fois le document traité
- Supprimez l'email de votre boîte d'envoi et videz la corbeille
Ces précautions réduisent le risque mais ne l'éliminent pas. Le fichier a quand même transité en clair sur plusieurs serveurs.
En résumé
Envoyer sa carte d'identité par email est un geste quotidien qui expose des millions de Français à l'usurpation d'identité. Le problème n'est pas votre destinataire, c'est le canal : l'email n'a jamais été conçu pour transmettre des documents sensibles.
Pour protéger votre identité, deux minutes suffisent : utilisez un service de chiffrement de bout en bout plutôt qu'un email. C'est gratuit, c'est rapide, et c'est la seule méthode qui garantit que votre pièce d'identité reste illisible pour tout le monde sauf votre destinataire.