Gironde : par erreur, les données personnelles de 10 000 allocataires de la CAF publiées sur la toile
La CAF de Gironde a communiqué à un prestataire les données personnelles de plus de 10 000 allocataires. Des informations ensuite publiées par erreur sur la toile.
Les données personnelles d’exactement 10 204 allocataires de la Caisse d’allocations familiales (CAF) se sont retrouvées en accès public sur la toile. De quelle façon ? C’est la CAF de Gironde qui serait à l’origine de cette fuite, comme le révèle la cellule investigation de Radio France dans un article de France Bleu. Les agents de la CAF sont régulièrement formés, et pour leur apprendre le langage R, outil de programmation destiné aux statistiques, un prestataire est sollicité.
Publication de données personnelles de la CAF : le prestataire les pensait fictives
Il se trouve que l’un de ces prestataires s’est retrouvé avec les données personnelles de plus de 10 000 allocataires de la CAF. En mars 2021, le client alors en formation avait publié ce fichier sur son site. Un document que tout internaute pouvait télécharger sous la forme d’un fichier .zip. Mais pour ce prestataire, il n’y avait pas de problème à cela : “Quand la CAF m’’a communiqué ces données, je pensais qu’elles étaient fictives”. Et d’ajouter : “Nous n’avons pas besoin de données réelles pour une formation, seulement de données ‘réalistes’. Le fichier a été mis à disposition sur mon site dans le cadre d’une formation en ligne et j’ai omis de le retirer ensuite.”
Un fichier resté en ligne 18 mois
Le fichier a été retiré après la prise de contact de Radio France avec le prestataire. Les données sensibles seront restées en ligne 18 mois. Soulignons que si elles ne comportaient pas les noms, les prénoms et les codes postaux, ces informations renseignaient notamment sur l’adresse, la date de naissance, la composition et revenus du foyer ainsi que sur les montants et types de prestations reçues.
Trois types de sanctions encourus
Les sanctions encourues peuvent être de trois types : civil, pénal ou administratif. Dans ce dernier cas, c’est la CNIL (Commission nationale de l’informatique et des libertés) qui rend son verdict.