Un fichier contenant les données de plus de 10 000 bénéficiaires de la Caisse d’allocations familiales (CAF) de Gironde est resté en accès libre sur Internet pendant dix-huit mois, comme le révèle la cellule d’investigation de Radio France, jeudi 5 janvier. Transmises en mars 2021 par la CAF de Gironde à l’un de ses prestataires, dont le nom n’a pas été révélé, ces données – qui correspondaient à de véritables allocataires – avaient vocation à être utilisées dans des exercices sur des outils de statistiques à destination des employés de la CAF, mais ont été mises en ligne sur le site Web du prestataire, librement accessibles aux internautes.
Le fichier en question ne donnait pas les noms et prénoms des personnes concernées, mais contenait tout de même de nombreuses informations personnelles : adresse, date de naissance, revenus, montants, ou encore type de prestation reçue de la part de la CAF. Selon Radio France, le dossier rassemblait ainsi 181 points de données par allocataire recensé, ce qui rend leur « désanonymisation » extrêmement simple.
Enquête ouverte
Le prestataire a retiré le fichier de son site lorsque cette fuite de données lui a été signalée par les journalistes. Il explique néanmoins qu’il n’avait pas conscience que les données qu’il contenait provenaient de véritables allocataires de la CAF de Gironde. Les différents exercices mis en place par ce prestataire parisien ne nécessitent, en effet, pas le recours à des données réelles, ce qui explique, selon lui, que le fichier incriminé n’ait pas été traité avec les précautions nécessaires en matière de protection des données personnelles.
Interrogée par Radio France, la CAF de Gironde rejette la faute sur l’entreprise, qui n’aurait, selon elle, jamais dû mettre ce fichier en ligne. L’organisation affirme que ce dernier était censé être réservé à un usage interne, dans le cadre d’une formation en effectif restreint et avec des employés soumis au secret professionnel. La CAF annonce avoir ouvert une enquête interne sur ce transfert et informera les 10 024 allocataires concernés.
Contactée par Le Monde, la Commission nationale de l’informatique et des libertés (CNIL) a déclaré avoir été notifiée d’une violation de données sur ce sujet, mais ne communique pas pour l’instant sur les suites potentielles. La CNIL dispose de la possibilité de sanctionner les organismes n’ayant pas respecté le cadre légal en vigueur sur la protection des données personnelles, autant chez le responsable de traitement (ici la CAF) que chez le sous-traitant (le prestataire chargé des formations). La commission se réserve également la possibilité de mener un examen « au-delà de la seule violation en cause, sur le niveau de sécurité générale du traitement que la violation peut révéler ».