Pilier : Individu | Niveau : Tous publics | Temps de lecture : ~10 min

Doxing : quand ton identité devient une arme contre toi

Tu n'as rien fait de particulier. Tu as exprimé une opinion en ligne, tu as participé à un débat, tu as simplement existé sur les réseaux. Et un jour, quelqu'un publie ton adresse, ton lieu de travail, le prénom de tes enfants — avec un message qui invite les autres à "s'en occuper".

C'est le doxing. Et contrairement à ce qu'on pourrait croire, ça n'arrive pas qu'aux personnalités publiques ou aux militants. Ça arrive à des gens ordinaires, pour des raisons parfois dérisoires, avec des conséquences qui peuvent être dévastatrices.

Cet article t'explique comment ça fonctionne, comment réagir si tu en es victime, et comment rendre la tâche beaucoup plus difficile aux personnes qui voudraient te cibler.

Ce qu'est le doxing — et ce que ce n'est pas

Le doxing (ou doxxing) consiste à rechercher, collecter et publier en ligne des informations personnelles sur une personne — son identité réelle, son adresse, son numéro de téléphone, son lieu de travail, des photos, des informations sur sa famille — dans le but de lui nuire, de l'intimider, ou d'inciter d'autres personnes à la harceler.

Le terme vient de l'anglais docs (documents) — l'idée de "sortir les dossiers" sur quelqu'un.

Ce qui distingue le doxing d'une simple recherche, c'est l'intention : exposer une personne à un risque. Les informations publiées ne sont pas toujours secrètes en elles-mêmes — ton adresse est peut-être dans les Pages Blanches, ton employeur visible sur LinkedIn. C'est leur regroupement et leur publication avec un contexte hostile qui transforme des données dispersées en munitions.

Ce que le doxing n'est pas

Mentionner publiquement qu'un élu a voté pour telle loi, ou qu'un dirigeant a pris telle décision, ce n'est pas du doxing — c'est de l'information publique sur l'exercice d'une fonction publique. La frontière est la suivante : est-ce que la publication expose la personne à un risque direct, ou est-ce que ça informe le public sur un sujet d'intérêt général ?

Comment ça fonctionne concrètement

Les sources utilisées

Un doxeur ne part généralement pas de rien. Il assemble des informations déjà disponibles en ligne — c'est ce qui rend l'exercice accessible à n'importe qui avec du temps et de la motivation.

Les réseaux sociaux sont la première source. Un compte Facebook avec un vrai nom, des photos géolocalisées, des check-ins dans des commerces proches de chez soi, des mentions de son lieu de travail — chaque élément seul est anodin, ensemble ils dessinent une carte précise.

Les registres publics : annuaires téléphoniques, registres d'entreprises (la Banque-Carrefour des Entreprises en Belgique est publique), mentions légales de sites web, actes notariés accessibles dans certains cas.

Les fuites de données : des millions d'adresses email et mots de passe circulent sur le dark web suite à des piratages. Un doxeur peut vérifier si ton adresse email apparaît dans ces fuites, et en déduire d'autres informations associées à ton compte.

Le OSINT passif : Google met en cache des années de publications. Une ancienne adresse mentionnée dans un forum en 2012, un commentaire avec ton vrai nom sur un article de blog, une photo avec des métadonnées GPS — des traces que tu as peut-être oubliées depuis longtemps.

La technique du pretexting : appeler ou contacter une entreprise, une administration ou un proche en se faisant passer pour toi ou pour quelqu'un qui te connaît, afin d'obtenir des informations par manipulation sociale.

La phase de publication et d'amplification

Une fois les informations collectées, elles sont publiées — souvent accompagnées d'un contexte hostile qui invite à l'action. Le doxeur publie sur un forum, un groupe, un canal Telegram, et appelle explicitement ou implicitement à harceler la cible. C'est ce passage de la collecte à la publication qui transforme le doxing en danger physique réel — appels incessants, livraisons non commandées, visites au domicile, contacts avec l'employeur.

Qui est visé ?

Les études montrent que personne n'est à l'abri, mais certains profils sont plus exposés : personnes qui s'expriment publiquement sur des sujets clivants, femmes actives en ligne, journalistes, militants, gamers (le doxing dans les communautés gaming est très répandu), mais aussi des gens ordinaires pris dans un conflit interpersonnel ou ciblés par erreur.

Tu en es victime maintenant — agis dans cet ordre

Étape 1 : Documenter immédiatement

Avant toute autre chose, capture les preuves. Les contenus peuvent disparaître très vite une fois que la publication commence à être signalée.

  • Capture d'écran de chaque publication avec les informations te concernant
  • Note l'URL complète, le nom du compte, la date et l'heure précises
  • Capture également les commentaires qui appellent à t'harasser
  • Si possible, utilise un outil d'archivage comme archive.ph ou web.archive.org pour créer une copie permanente de la page — ces archives sont acceptées comme preuves

Étape 2 : Évaluer le niveau de risque immédiat

Pose-toi cette question : est-ce que ton adresse physique a été publiée ? Si oui, le risque est différent d'une publication de ton numéro de téléphone.

  • Adresse publiée → préviens les personnes dans ton foyer, et envisage sérieusement de contacter la police immédiatement. Ce n'est pas de la paranoïa — des visites non souhaitées suite à un doxing arrivent.
  • Numéro de téléphone → prépare-toi à recevoir des appels et messages. Tu peux contacter ton opérateur pour un changement de numéro d'urgence.
  • Lieu de travail → préviens ton responsable ou la sécurité de ton entreprise. Ils doivent être informés pour pouvoir gérer d'éventuels contacts hostiles.

Étape 3 : Demander la suppression des contenus

Contacte directement les plateformes pour exiger la suppression des publications contenant tes données personnelles. En vertu du RGPD, tu as le droit à l'effacement de tes données personnelles — ce droit s'applique aux plateformes opérant en Europe.

  • Sur chaque réseau social, utilise le bouton de signalement en indiquant clairement "violation de la vie privée / publication de données personnelles sans consentement"
  • Pour les sites web indépendants : contacte l'hébergeur (souvent trouvable via une recherche WHOIS) en invoquant le RGPD
  • Pour les résultats Google : utilise le formulaire de suppression de résultats Google pour données personnelles

Étape 4 : Porter plainte

En Belgique, le doxing ne constitue pas encore une infraction pénale spécifique dans le Code pénal — contrairement à la France qui a légiféré en 2021. Cependant, plusieurs textes peuvent s'appliquer selon les circonstances :

Article 442bis du Code pénal — harcèlement : si le doxing s'inscrit dans un comportement répété visant à troubler ta tranquillité, c'est du harcèlement punissable de 15 jours à 2 ans d'emprisonnement.

Coauteur ou complice d'infraction : celui qui diffuse ton adresse ou ton numéro dans le but explicite d'inciter d'autres à te harceler peut être poursuivi comme coauteur des infractions commises par ceux qui ont agi suite à cette publication.

Loi du 30 juillet 2018 relative à la protection des données personnelles (RGPD belge) : la collecte et la publication de tes données personnelles sans base légale constitue une violation du RGPD. Tu peux déposer une plainte auprès de l'Autorité de Protection des Données (APD) belge — apd-gba.be — en plus de la plainte pénale.

Atteinte à la vie privée : l'article 22 de la Constitution belge garantit le droit au respect de la vie privée. Une action civile en dommages et intérêts est possible.

Pour porter plainte au pénal, rends-toi au commissariat de ton choix avec toutes tes preuves documentées. Précise explicitement les infractions que tu invoques.

Autorité de Protection des Données (APD) Rue de la Presse 35, 1000 Bruxelles contact@apd-gba.be — apd-gba.be

Étape 5 : Limiter les dégâts numériques

Une fois la crise gérée, commence le travail de nettoyage de ton empreinte numérique :

  • Passe tous tes comptes en mode privé temporairement
  • Modifie tes mots de passe et active le 2FA partout
  • Recherche ton nom complet sur Google, Bing et DuckDuckGo pour voir ce qui est encore indexé
  • Utilise le formulaire de suppression de données de Google pour demander le déréférencement des résultats contenant tes informations personnelles

Ce que dit le cadre légal belge — honnêtement

Il faut être transparent sur un point : la Belgique ne dispose pas encore d'une loi spécifique incriminant le doxing comme tel. Des propositions de loi ont été déposées à la Chambre, notamment par des parlementaires socialistes en 2021, mais elles n'ont pas encore abouti à une incrimination spécifique dans le Code pénal.

Cela ne signifie pas que tu es sans recours — les textes existants (harcèlement, protection des données, vie privée, complicité) permettent d'agir. Mais ça signifie que la charge de la preuve repose davantage sur toi, et que la qualification des faits dépend des circonstances.

La France a légiféré spécifiquement en 2021 avec l'article 223-1-1 du Code pénal, qui punit de 3 ans d'emprisonnement et 45 000 euros d'amende la publication d'informations permettant d'identifier ou de localiser une personne aux fins de l'exposer à un risque direct. C'est la direction que devrait prendre la Belgique — en attendant, les recours existants restent utilisables.

Se protéger avant que ça arrive

La meilleure défense contre le doxing, c'est de rendre la collecte d'informations te concernant aussi difficile que possible.

Fais un OSINT sur toi-même

Avant de t'inquiéter de ce que les autres pourraient trouver, sache ce qui est déjà disponible. Cherche ton nom complet entre guillemets sur Google, Bing, et DuckDuckGo. Cherche aussi tes adresses email, ton numéro de téléphone. Tu seras peut-être surpris.

Des outils comme Have I Been Pwned (haveibeenpwned.com) te permettent de vérifier si ton adresse email apparaît dans des fuites de données connues. C'est gratuit et ça prend deux minutes.

Sépare ton identité publique de ton identité privée

Si tu as une présence publique en ligne — un blog, un compte actif sur des sujets clivants, une activité professionnelle visible — crée une séparation claire :

  • Adresse email dédiée pour les comptes publics, différente de celle que tu utilises pour ta banque, ta mutuelle, tes achats en ligne
  • Ne relie jamais ton compte public à ton numéro de téléphone personnel
  • Utilise un pseudonyme cohérent pour ta présence publique si tu n'as pas de raison professionnelle d'utiliser ton vrai nom

Nettoie ce qui est déjà en ligne

  • Annuaires téléphoniques : vérifie si ton numéro et ton adresse apparaissent sur Les Pages Blanches, 118712.be, ou d'autres annuaires. Contacte-les directement pour demander la suppression.
  • LinkedIn : limite la visibilité de ton adresse, de ton numéro, et de certains détails de ton parcours aux seules connexions de confiance.
  • Réseaux sociaux : audite tes paramètres de confidentialité. Qui peut voir tes photos ? Tes check-ins ? Tes amis et famille ?
  • Mentions légales de sites : si tu gères un site web, tu peux utiliser un service de confidentialité d'adresse (certains bureaux de domiciliation professionnelle proposent ce service) pour ne pas exposer ton adresse personnelle.

Surveille ton nom en temps réel

Configure une alerte Google sur ton nom complet et ses variantes : Google Alerts (alerts.google.com) t'envoie un email dès que ton nom apparaît dans un nouveau contenu indexé. Gratuit, efficace, et tu l'oublies jusqu'au jour où tu en as besoin.

Protège les métadonnées de tes photos

Les photos prises avec un smartphone contiennent souvent des coordonnées GPS dans leurs métadonnées EXIF. Avant de publier une photo, assure-toi que les données de localisation ont été supprimées — les paramètres de la plupart des appareils photo et smartphones permettent de désactiver l'enregistrement de la position, ou tu peux utiliser un outil comme ExifTool pour nettoyer les métadonnées.

En résumé

Le doxing transforme des informations dispersées en arme. Sa force vient du regroupement et du contexte hostile dans lequel les informations sont publiées. Si tu en es victime, la priorité absolue c'est : documenter avant tout, évaluer le risque physique, demander la suppression des contenus, et porter plainte en utilisant les textes disponibles. Pour t'en protéger en amont, l'OSINT sur toi-même est le premier réflexe — savoir ce qui est déjà accessible, c'est la base de toute protection.

La vigilance comme bouclier. La connaissance comme arme.

Pour aller plus loin

  • Guide technique : Faire un OSINT sur soi-même — les outils et la méthodeWiki ODIN
  • Guide technique : Nettoyer son empreinte numériqueWiki ODIN
  • Article suivant : Revenge porn — quand l'intime devient une arme → à venir
  • Article précédent : Harcèlement en ligne — comprendre, réagir, se protégerLire l'article

Tu traverses une situation similaire ?

Si tu es actuellement victime de doxing et que tu as besoin d'aide concrète pour documenter, signaler ou agir — tu peux nous contacter directement, en toute confidentialité.

Nous contacter →

Article rédigé dans le cadre du projet ODIN — Observer, Détecter, Identifier, Neutraliser. Ce contenu est informatif et ne remplace pas un conseil juridique. Pour toute situation grave, consulte un avocat spécialisé en droit pénal ou en protection des données.