Les données personnelles de milliers d’allocataires de la CAF ont été mises en ligne sans qu’ils soient au courant. Mais qu’est ce qui s’est passé ?
CAF : Plus de 180 données personnelles des allocataires ont été mises en ligne
A cause de la CAF de Gironde, les données personnelles de milliers d’allocataires ont été mises en ligne. Tout se passe lorsqu’elle a communiqué un fichier à son client. Les noms et prénoms ainsi que les codes postaux n’y figurent pas. Mais il reste beaucoup d’informations. Au total, pas moins de 181 données par allocataire ont été dévoilées. Grâce à l’annuaire inversé, il est possible d’identifier chaque individu. En mars 2021, le prestataire met ce fichier en ligne sur son site internet. Le comble c’est que l’accès à ces données est possible par tout un chacun. En effet, il suffit de cliquer sur un fichier intitulé « CAF.zip ». « Quand la CAF m’a communiqué ces données, je pensais qu’elles étaient fictives », se défend aujourd’hui le prestataire resté anonyme.
« Nous n’avons pas besoin de données réelles pour une formation, seulement de données ‘réalistes’. Le fichier a été mis à disposition sur mon site dans le cadre d’une formation en ligne et j’ai omis de le retirer ensuite. » Mais le mal est fait ! Le fichier y est resté 18 mois. Chacun s’interroge sur cette action de la CAF. « Il s’agit de données personnelles sensibles. Je ne pense pas que la CAF avait juridiquement le droit d’exporter ces données », explique Bastien Le Querrec, juriste à la Quadrature du Net. « On a une fenêtre sur la vie intime de plus de 10 000 personnes avec des informations très précises », déplore Alexandre, un autre membre de l’association. On se demande pourquoi ces données personnelles des allocataires de la CAF ont été mises en ligne.
Les risques sont élevés pour les victimes
Selon Alexandra Iteanu, avocate spécialiste en protection des données, « pour qu’un transfert de données personnelles soit légal, il doit reposer sur l’une des six bases légales imposées par le RGPD [Règlement général sur la protection des données] : le consentement, le contrat, la mission d’intérêt public, la sauvegarde d’intérêts vitaux, l’intérêt légitime et l’obligation légale. La CAF n’avait donc pas le droit de communiquer ces données si elle n’a pas informé en amont les personnes concernées et obtenu leur consentement ». Ainsi, les données personnelles des allocataires mises en ligne par la CAF posent problèmes. Les sanctions peuvent être administratives, civiles ou pénales. En effet, les risques sont élevés pour les victimes. « Avec autant de données disponibles en ligne, le risque le plus grand est l’usurpation d’identité », explique Bastien Le Querrec.
« Il peut y avoir aussi du ciblage malveillant. Par exemple, on reçoit un message qui dit ‘faites telle démarche pour votre enfant’, et on se connecte sur une plateforme frauduleuse. » Le service de presse de la Cnaf affirme que « ces données n’auraient jamais dû être mises en ligne par le prestataire ». En effet, ce dernier avait reçu le fichier dans le cadre « d’une formation très restreinte » avec un personnel « soumis au secret professionnel ». Une enquête est donc menée. Vous pouvez apporter votre aide si vous avez quelconque information.