La Caisse dallocations familiales (CAF) de Gironde a partag avec un de ses prestataires charg de former ses agents ( la programmation en langage R) un des donnes personnelles de 10 204 allocataires sous forme de fichier .zip. Le prestataire les a ensuite mis en ligne pensant quil sagissait de donnes fictives destines la formation que la CAF avait mis sa disposition. Rsultat : dates de naissance, composition du foyer, adresses, revenus et montants reus de la CAF de ces allocataires se sont trouves sur Internet en libre accs sur Internet et ce, pendant un an et demi.
Lorigine de cette « fuite » que la cellule investigation de Radio France vous rvle, se trouve la caisse dallocations familiales de Gironde. Lorganisme (de statut priv, charg dune mission de service public, comme toutes les CAF) forme rgulirement ses agents, notamment ses statisticiens. Pour leur apprendre le langage R, un langage de programmation destin aux statistiques, il fait appel un prestataire bas en rgion parisienne. Et comme dans toutes les formations, il y a des cas pratiques avec des exercices.
Dans ce cadre-l, la CAF de Gironde a communiqu son client un fichier comportant les donnes personnelles de 10 204 allocataires prcisment. Les noms et prnoms ont t enlevs ainsi que les codes postaux mais il reste beaucoup dinformations : adresse (numro et nom de la rue), date de naissance, composition et revenus du foyer, montants et types de prestations reues (RSA, APL, allocation adulte handicap…), au total, pas moins de 181 donnes par allocataire ont t dvoiles. Mme les dates de naissance des enfants et lexistence dune garde alterne sont mentionnes dans le fichier. La suppression des noms et des prnoms nempche nullement didentifier les allocataires car en utilisant lannuaire invers sur internet, nous avons pu retrouver l’identit de la plupart dentre eux.
Au moment de la formation, en mars 2021, le prestataire met ce fichier en ligne sur son site internet (voir captures dcran ci-dessous) , rapporte la cellule dinvestigation de Radio France.
Le prestataire a donc mis en ligne les donnes (quil pensait cres de toutes pices par la CAF) en mars 2021 pour les cas pratiques de formation en ligne des agents de la CAF la programmation en langage R. Il a ensuite omis de supprimer le fichier et ne la retir quaprs le signalement de Radio France, soit 18 mois plus tard. La cellule dinvestigation rapporte en sus que lutilisation dun annuaire invers sur Internet permettait de retrouver les noms et prnoms des allocataires et donc de les identifier.
Le partage de donnes initi par la CAF nest pas conforme aux dispositions du RGPD qui requiert au pralable le consentement de chaque personne concerne. En dautres termes, les allocataires auraient d accepter bien en amont un tel partage. Des poursuites judiciaires pourraient donc suivre.
Et vous ?
Quel commentaire faites-vous de cette situation ?
Voir aussi :
Un chercheur en scurit a dcouvert plus de 1500 identifiants Amazon Ring en vente sur le Dark Net, permettant d’accder l’ensemble des appareils connects aux sonnettes
Amazon et Ring distribuent leurs dispositifs de surveillance connects en utilisant les agents de police, comme des reprsentants commerciaux
Plus de 267 millions de noms et de numros de tlphone provenant de Facebook ont t divulgus en ligne, selon des chercheurs en scurit
De nombreux systmes militaires amricains critiques pour la scurit utilisent dsormais Linux, un systme d’exploitation qui rpond au mieux aux exigences du gouvernement ?