Cette fois, ce n’est pas un acte malveillant mais bien par négligence ! Les données de plus de 10 000 allocataires de la Caisse d’Allocations Familiales de Gironde ont été mises en ligne sur Internet pendant 18 mois.
Comment est-ce possible ?
La CAF de Gironde a transmis, courant mars 2021, un fichier à l’un de ses prestataires externes. Ce dernier comportait des informations sur ses allocataires. La société privée avait en charge de former des statisticiens de l’organisme sur des outils de statistiques. La formation s’est déroulée à distance, en ligne. L’entreprise a mis en ligne le fichier afin que les agents puissent découvrir les fonctionnalités de l’outil avec des données. Une fois la formation terminée, l’établissement a omis de le retirer.
Dans un souci d’anonymiser les données, les noms, prénoms, numéros de téléphone et e-mails avaient été effacés. Malgré tout, un grand nombre d’informations restaient telles que : la date de naissance, l’adresse postale, les revenus du foyer, les montants et le type des différentes prestations perçues… Au total, pas moins de 180 éléments par allocataire y seraient recensés. Une personne mal intentionnée pourrait sans problème et rapidement retrouver l’identité des personnes…
Qui est responsable ?
Dès qu’elle en a été informée, la société a immédiatement supprimé le fichier. Cette dernière n’avait absolument pas conscience qu’il s’agissait de véritables renseignements. Elle pensait détenir des données fictives. Pour la formation des agents, la société a uniquement besoin de données se rapprochant au plus près de la réalité. La CAF de Gironde a informé les allocataires concernés. Elle rejette la faute sur la société prestataire. Le fichier était destiné uniquement à un nombre d’agents restreint, soumis au secret professionnel et dans le cadre de leur formation.
Des sanctions ?
Un signalement à la Commission nationale de l’informatique et des libertés (CNIL) a été fait pour « violation de données personnelles ». Pour le moment, la CNIL ne se prononce pas sur les suites de cet évènement, mais elle a la possibilité de statuer sur des amendes administratives à l’encontre des différentes parties de cette affaire.
Toutes les organisations doivent appliquer le Règlement Général sur la Protection des Données (RGPD). La CAF doit avoir récolté l’autorisation de tous les allocataires avant de transmettre des données à un tiers. Si cette étape n’a pas été effectuée, selon le RGPD, des peines pénales peuvent être émises et des dommages et intérêts peuvent être demandés par les victimes.