Une série d’enlèvements violents survenus entre fin 2024 et mi-2025 met en lumière une nouvelle menace : l’exploitation de données accessibles en ligne pour cibler des dirigeants. Face à cette nouvelle technique de profilage criminel, le droit et l’intelligence économique s’allient pour réagir. Analyse.
Une visibilité devenue vulnérabilité
La montée des menaces liées à l’économie numérique, alimentée par l’importance croissante de ce secteur dans la création de valeur et par la facilité d’accès aux données personnelles rendue possible par les technologies d’agrégation et d’indexation, engendre de nouvelles formes de criminalité, prenant notamment la forme de chantages ou d’enlèvements ciblés d’entrepreneurs ou de leurs proches.
En effet, depuis quelques mois, plusieurs affaires d’enlèvements ciblant des figures du secteur des cryptomonnaies ont rappelé une réalité brutale : la frontière entre présence numérique et vulnérabilité physique est désormais poreuse.
- Bruxelles, 20 décembre 2024 : l’épouse de Stéphane Winkel, entrepreneur influent dans la blockchain, a été enlevée par 4 ravisseurs qui réclamaient une rançon en cryptomonnaies.
- Saint-Geais-Pouilly, 31 décembre 2024 : Le père d’un influenceur français en crypto-monnaies, installé à Dubaï, est kidnappé à son domicile par un groupe armé. Sa compagne et sa fille, présentes sur les lieux, sont ligotées. Les agresseurs réclament une rançon en échange de sa libération.
- Le Cher, 21 janvier 2025 : Le cofondateur de la société Ledger et son épouse sont enlevés à leur domicile, séquestrés, puis mutilés[1].
- Paris, 13 mai 2025 : Un couple de l’entourage familial d’un chef d’entreprise dans la cryptomonnaie, ont été victime d’une tentative d’enlèvement en pleine journée dans Paris.
- Suresnes, 7 juillet 2025 : Une femme est violemment agressée à son domicile dans les Hauts-de-Seine. Interpellé, l’un des malfaiteurs déclare avoir ciblé le couple, via les réseaux sociaux, en raison de leur possession d’actifs en cryptomonnaie.
Dans chaque cas, les auteurs ont profité d’un niveau élevé d’exposition publique : chaînes YouTube, interviews, données d’immatriculation, réseaux sociaux. Les profils étaient connus, les domiciles identifiés, les mouvements anticipés. Les données personnelles publiques sont devenues une passerelle vers l’intégrité physique.
Dans ce contexte, l’effacement des données superfétatoires devient un impératif de sécurité et de conformité RGPD.
Une prise de conscience des pouvoirs publics
Conscient de la montée en puissance de cette nouvelle forme de criminalité, le ministre de l’Intérieur, Bruno Retailleau a réuni en mai 2025 les entrepreneurs du secteur de la cryptomonnaie, particulièrement visés par ces exactions. « Il faut qu’on prenne ensemble des mesures pour les protéger. Mais les commanditaires, où qu’ils soient – peut-être même à l’étranger –, on les retrouvera », a-t-il par ailleurs promis sur les antennes de Cnews et Europe 1.
Cette volonté de minimiser les surfaces de vulnérabilité des entrepreneurs inhérentes à l’accessibilité de leurs données personnelles, notamment sur les registres légaux, s’est incarnée par la proposition de loi n°1621 déposée le mardi 24 juin 2025.
Présentée par le député M. Paul MIDY cette proposition souligne que l’accès libre aux noms, adresses et dates de naissance constitue un facteur aggravant de vulnérabilité. Elle reconnaît que si une partie de ces informations est indispensable pour la transparence économique, leur diffusion publique doit être modulée dès lors qu’elle menace la sécurité des individus.
A ce titre, cette proposition propose l’insertion d’un article L. 123‑6‑1 au code de commerce dont les points principaux sont :
- Le masquage des adresses personnelles obligatoires
Les opérateurs publics (INPI, Infogreffe, INSEE…) devront fournir aux exploitants privés (Pappers, Société.com…) des données expurgées des adresses personnelles des dirigeants, ne conservant que le code postal. Les exploitants devront également supprimer les adresses déjà publiées dans leurs bases. - La suppression des adresses professionnelles quand elles sont personnelles
Si l’adresse professionnelle est aussi l’adresse personnelle, elle pourra être supprimée à la demande du dirigeant, tant au niveau des registres que des bases détenues par les exploitants. - Sanctions en cas de non-respect
Tout manquement à ces obligations exposerait l’exploitant à une amende de 45 000 euros.
Renvoyée à la commission des affaires économiques, cette proposition est en attente d’examen.
Anticiper, cartographier, sécuriser : le triptyque défensif pour les entrepreneurs exposés
Afin d’assurer une réponse opérationnelle à cette nouvelle menace, plusieurs actions peuvent être dès maintenant envisagées par les dirigeants.
De nombreuses entreprises, dont Tesla France et Kering — la maison mère de Saint Laurent, Gucci, Creed ou encore Balenciaga — ont ainsi réagi en entamant les démarches nécessaires à la confidentialité des données personnelles de leurs dirigeants.
Mais concrètement, comment agir ?
D’abord, il est possible d’effectuer un audit d’exposition numérique, permettant aux dirigeants de prendre conscience de l’étendue de leur présence en ligne et de cartographier les sources publiques ou privées diffusant des informations sensibles (adresse personnelle, habitudes, réseaux sociaux, etc.). Cette étape est un préalable à l’identification des données présentant un risque de par leur publicité.
Ensuite, il est possible de saisir les entités compétentes en la matière pour demander officiellement le retrait total ou partiel des informations critiques et relevées au sein de l’audit.
Enfin, il semble utile de rappeler que l’exposition numérique n’est pas une affaire d’un jour. Les méthodes évoluent, les stratégies se perfectionnent. Une formation ciblée sur les points d’entrée les plus couramment exploités par les cybercriminels, les mécanismes de repérage, ainsi que les réflexes sécuritaires à adopter au quotidien[2]permet aux dirigeants de disposer de leviers d’action concrets pour anticiper, réduire et contrer les risques physiques ou numériques auxquels ils peuvent être exposés.[MC1]
***
La montée en puissance de l’économie numérique, combinée à l’accessibilité sans précédent des données personnelles via des plateformes d’agrégation, impose une révision du cadre légal. Le droit évolue — à travers la jurisprudence européenne, le RGPD, les propositions ministérielles et la loi n°1621 — pour renforcer le principe de stricte nécessité dans la diffusion des informations relatives aux dirigeants.
Mais cette mutation législative ne saurait suffire à elle seule. Elle doit s’accompagner d’une prise de conscience individuelle. Car protéger son image, ses proches et son intégrité commence aujourd’hui par la maîtrise de son empreinte numérique.
Entreprendre dans un environnement ouvert n’a jamais signifié s’exposer sans limite. Il est temps de reconnaître que la discrétion peut, elle aussi, devenir une condition de la liberté d’agir.
[2] Par exemple, désindexation, séparation des identités, usage de services de domiciliation, gestion des accès tiers
