500 millions de dossiers personnels, des numéros de sécurité sociale, des dates de naissance, des origines ethniques. Le tout copié sur une simple clé USB par un ingénieur qui venait de quitter son poste. C’est le scénario que décrit un lanceur d’alerte au sein de l’administration américaine de la sécurité sociale (SSA), dans une plainte révélée le 10 mars par le Washington Post.
L’homme visé est un ancien ingénieur logiciel du DOGE, le département d’efficacité gouvernementale créé sous l’impulsion d’Elon Musk. Selon la plainte, il aurait extrait deux bases de données parmi les plus sensibles du gouvernement fédéral avant de rejoindre un sous-traitant privé, où il se serait vanté auprès de ses collègues de détenir ces fichiers et de vouloir les exploiter dans son nouveau poste.
Numident et Master Death File : le trousseau complet
Les deux bases copiées portent des noms techniques qui masquent leur portée réelle. La première, Numident, recense chaque personne ayant reçu un numéro de sécurité sociale aux États-Unis : identité complète, lieu et date de naissance, nationalité, ethnie, noms des parents. La seconde, le Master Death File, compile les données de tous les Américains décédés enregistrés dans le système fédéral. Ensemble, elles couvrent plus de 500 millions d’individus, vivants et morts confondus.
Ces fichiers ne sont pas de simples annuaires. Ils servent à vérifier l’identité des citoyens lors de demandes de prestations sociales, de prêts bancaires ou de contrôles fiscaux. Entre de mauvaises mains, ils représentent une mine d’or pour l’usurpation d’identité à grande échelle.
L’ancien employé aurait disposé d’un accès qu’il qualifiait lui-même de « God-level », soit un accès administrateur sans restriction aux systèmes de la SSA. Un niveau de privilège qui, selon les experts en cybersécurité, ne devrait jamais être attribué sans supervision permanente ni journalisation renforcée.
Quatre scandales en un an, le même organisme
Ce n’est pas la première fois que le DOGE et la SSA se retrouvent au coeur d’une affaire de données. En janvier 2026, deux membres du DOGE ont été soupçonnés d’avoir consulté et partagé des numéros de sécurité sociale auxquels ils n’avaient pas accès, dans le but d’aider un groupe de pression souhaitant contester des résultats électoraux dans plusieurs États, selon des documents judiciaires rapportés par TechCrunch.
En août 2025, un autre lanceur d’alerte avait signalé que des membres du DOGE avaient transféré des centaines de millions de dossiers de la SSA vers un serveur cloud jugé vulnérable. Et dès mars 2025, un juge fédéral avait purement et simplement interdit au DOGE d’accéder aux systèmes de l’agence, estimant que l’équipe de Musk menait une « expédition de pêche » dans les données personnelles des citoyens.
Quatre incidents en douze mois, tous liés au même organisme, tous impliquant des transferts non autorisés de données confidentielles. La répétition pose une question structurelle : comment une agence censée protéger les informations les plus sensibles du pays peut-elle laisser se reproduire les mêmes failles ?
La SSA dément, l’inspecteur général enquête
La réaction officielle de la SSA, toujours placée sous l’autorité du DOGE, a été cinglante. Un porte-parole a qualifié l’article du Washington Post de « fake news destinée à effrayer les seniors », accusant le journal d’être « désespéré pour des clics ». Aucune explication technique n’a accompagné ce démenti.
De l’autre côté, le bureau de l’inspecteur général de la SSA, organisme indépendant de l’administration Trump, a confirmé l’existence d’une enquête sur la plainte du lanceur d’alerte. Cette enquête pourrait déterminer si l’extraction de données constitue un délit fédéral au regard de la loi sur la fraude informatique (Computer Fraud and Abuse Act) et des réglementations sur la protection des données personnelles des citoyens.
Le décalage entre la réponse politique de la SSA et le silence prudent de son inspecteur général illustre la tension permanente entre l’appareil gouvernemental, restructuré par le DOGE, et les organes de contrôle indépendants.
Le vrai problème : une gestion des accès hors de contrôle
Selon le Washington Post, au moins une douzaine d’employés du DOGE ont travaillé au sein de la SSA depuis l’investiture de Trump. La plupart étaient des ingénieurs ou du personnel technique. Leurs rôles exacts et leurs activités n’ont jamais été communiqués au reste du personnel de l’agence.
Ce flou organisationnel est au coeur du problème. Dans une administration qui gère les données de la quasi-totalité des citoyens américains, l’absence de traçabilité des accès, combinée à des niveaux de privilège disproportionnés, crée les conditions idéales pour une fuite. Le principe du moindre privilège, règle élémentaire en sécurité informatique, consiste à ne donner à chaque utilisateur que les accès strictement nécessaires à sa mission. Visiblement, cette règle n’a pas été appliquée.
L’affaire soulève aussi une question juridique inédite : quand un employé gouvernemental temporaire extrait des données vers un support physique pour les emporter chez un employeur privé, qui est responsable ? L’individu, l’agence qui a accordé l’accès, ou l’entité politique qui a placé cet individu à ce poste ?
Un précédent qui inquiète bien au-delà des États-Unis
L’affaire dépasse le cadre américain. En Europe, le RGPD impose aux organisations de signaler toute violation de données dans un délai de 72 heures et prévoit des amendes pouvant atteindre 4 % du chiffre d’affaires mondial. Aux États-Unis, aucune législation fédérale équivalente ne protège les citoyens contre ce type de fuite gouvernementale. Le Privacy Act de 1974, censé encadrer l’utilisation des données personnelles par les agences fédérales, n’a pas été substantiellement mis à jour depuis cinquante ans.
Le bureau de l’inspecteur général doit rendre ses premières conclusions dans les prochaines semaines. Si les faits sont confirmés, l’ancien employé du DOGE pourrait être poursuivi au pénal. Mais la vraie question reste celle de la gouvernance : le Congrès examine actuellement plusieurs propositions de loi visant à renforcer la supervision des accès aux données fédérales, dont le Federal Data Protection Act, introduit en février 2026. Son adoption pourrait enfin combler un vide juridique vieux d’un demi-siècle.
