M. Alexandre Dufosset appelle l'attention de Mme la ministre déléguée auprès du ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique, chargée de l'intelligence artificielle et du numérique, sur la multiplication des fuites massives de données personnelles en France et sur l'insuffisance des mécanismes de protection et d'indemnisation des citoyens. Depuis plusieurs années, les violations de données personnelles connaissent une progression préoccupante. La CNIL indique qu'en 2024, 5 629 violations de données lui ont été notifiées, soit une hausse de 20 % par rapport à l'année précédente et que le nombre de violations concernant plus d'un million de personnes a doublé en un an. Ces incidents ne concernent plus seulement des acteurs privés, mais touchent désormais des plateformes publiques, des services de santé ou des administrations traitant des données particulièrement sensibles. Les exemples récents illustrent l'ampleur du phénomène. La CNIL a sanctionné France Travail à hauteur de 5 millions d'euros après une intrusion ayant permis l'accès aux données de personnes inscrites ou ayant été inscrites au cours des vingt dernières années, incluant notamment des numéros de sécurité sociale. Elle a également sanctionné les sociétés Free Mobile et Free pour un montant cumulé de 42 millions d'euros après une fuite concernant 24 millions de contrats d'abonnés, dont des IBAN. Plus récemment encore, le ministère de l'intérieur a confirmé qu'un incident de sécurité relatif au portail de l'ANTS-France Titres pourrait concerner 11,7 millions de comptes, exposant notamment des données d'identification telles que le nom, les prénoms, l'adresse électronique, la date de naissance ou l'identifiant du compte. Le cumul de ces incidents pourrait concerner une part importante de la population française, exposant les citoyens à des risques accrus d'usurpation d'identité, de fraude et d'atteinte durable à leur vie privée. Ces fuites ne constituent pas de simples atteintes abstraites à la vie privée ; elles exposent directement les Français à l'usurpation d'identité, au hameçonnage ciblé, aux fraudes bancaires etc. Or comme le montre un récent rapport du laboratoire d'idées Génération Libre, le modèle actuel repose principalement sur la notification des incidents, les sanctions administratives prononcées par la CNIL et des recours individuels souvent longs, complexes et peu accessibles. L'article 82 du RGPD reconnaît certes un droit à réparation en cas de dommage matériel ou moral, mais, en pratique, les victimes doivent encore établir leur préjudice et le lien de causalité, ce qui limite fortement l'effectivité de leur indemnisation. Par conséquent, il lui demande si le Gouvernement entend engager une réflexion visant à renforcer les obligations techniques minimales de sécurité applicables aux bases de données publiques et privées. Il lui demande également si la création d'un mécanisme d'indemnisation directe et automatique des victimes de fuites massives de données est envisagée, afin que les sanctions prononcées ne bénéficient pas uniquement à l'État, mais permettent aussi de réparer concrètement le préjudice subi par les citoyens.