Gigantesque bourde de la part de la CAF de Gironde, qui aura divulgué l’ensemble des données personnelles de plus de 10 000 allocataires à l’un de ses prestataires parisiens, qui les aura, par erreur, mises en ligne pendant près de 18 mois sur son site Internet. L’usurpation d’identité est bien évidemment le plus gros risque pour les allocataires concernés.
Si vous êtes allocataire de la Caisse d’allocations familiales (CAF), vous êtes potentiellement concerné par une fuite de données qui vient de se produire. L’information provient de la cellule investigation de Radio France qui indique que la CAF de Gironde a communiqué des informations confidentielles de plus de 10 000 allocataires à l’un de ses prestataires « chargé de former ses agents ». Le prestataire, qui croyait par erreur que ces données étaient « fictives », les aura ensuite publiées en ligne.
CAF : plus de 10 000 utilisateurs concernés par la publication de leurs données en ligne
Les données publiées en ligne concernent la date de naissance des allocataires, leur adresse, le montant des prestations qu’ils reçoivent de la Caisse d’allocations familiales et même leurs revenus. Toutes ces données sont restées disponibles en ligne pendant près de deux ans, téléchargeables par qui veut.
La fuite provient de la caisse d’allocations familiales de Gironde. L’organisme, qui fait appel à un prestataire basé à Paris pour former ses agents à apprendre un langage de programmation destiné aux statistiques (langage R), a communiqué à son client un fichier comportant les données personnelles de 10 204 allocataires. Adresse précise, date de naissance, composition et revenus du foyer, montants et types de prestations reçues (RSA, APL, allocation adulte handicapé), de nombreuses données ont été échangées.
À lire : Twitter : des millions d’adresses e-mail d’utilisateurs volées lors d’un piratage de données
Le hic, c’est que le prestataire (resté anonyme) aura mis en ligne ces données en mars 2021, pensant qu’elles étaient fictives. Au total, les données seront restées en ligne pendant 18 mois, à la vue de tous, accessibles par un simple téléchargement d’un fichier nommé « CAF.zip ».
« Il s’agit de données personnelles sensibles. Je ne pense pas que la CAF avait juridiquement le droit d’exporter ces données », dit le juriste Bastien Le Querrec à la Quadrature du Net. Dans ce cadre précis, les sanctions peuvent être administratives (prononcées par la CNIL), civiles ou pénales, le plus grand risque pour les allocataires concernés étant l’usurpation d’identité. La CAF a ouvert une enquête en interne.