Sans le vouloir, la Caisse d’allocations familiales (CAF) de Gironde a mis en ligne les données personnelles de 10 204 de ses allocataires. C’est ce qu’elle a communiqué à l’un de ses prestataires, notamment chargé de former ses agents, afin que l’erreur ne puisse être commise à nouveau.

Un prestataire de la CAF oublie de retirer les données personnelles de son site web

Selon une enquête de la cellule investigation de Radio France, l’organisme de droit privé aurait envoyé à un de ses clients, en mars 2021, un fichier comportant les données personnelles de plus de 10 000 de ses allocataires. Même si les noms et prénoms ont été retirés de ce document afin de l’anonymiser, de nombreuses informations y figuraient : date de naissance, revenus mensuels, prestations reçues, adresse, etc.

Alors que son prestataire formait de nouveaux agents, il a mis par erreur le fichier en ligne sur son site internet. « Quand la CAF m’a communiqué ces données, je pensais qu’elles étaient fictives, affirme l’un des employés de l’entreprise qui a préféré préserver son anonymat. Nous n’avons pas besoin de données réelles pour une formation, seulement de données réalistes. Le fichier a été mis à disposition sur mon site dans le cadre d’une formation en ligne et j’ai omis de le retirer ensuite ».

Pendant 18 mois, l’ensemble des informations de plus de 10 000 personnes ont été disponibles pour quiconque le souhaitait sur le site internet. 181 données par allocataire ont ainsi été publiées. Radio France et a pu retrouver l’identité de la plupart de ces personnes.

En dévoilant publiquement des données personnelles, les risques sont démultipliés

Si la période est à la crainte de divulgation de documents dans le cadre de pirates, comme avec un ransomware, ici, la situation est différente. Il s’agirait d’une erreur commise involontairement, dans un cadre bien précis et avec aucune volonté de compromettre la confidentialité de ces données personnelles.

Alexandra Iteanu, avocate spécialiste en protection des données, a analysé auprès de Radio France « pour qu’un transfert de données personnelles soit légal, il doit reposer sur l’une des six bases légales imposées par le RGPD : le consentement, le contrat, la mission d’intérêt public, la sauvegarde d’intérêts vitaux, l’intérêt légitime et l’obligation légale. La CAF n’avait donc pas le droit de communiquer ces données si elle n’a pas informé en amont les personnes concernées et obtenu leur consentement ».

Avec autant d’informations divulguées publiquement, les risques d’usurpation d’identité et d’arnaques sont démultipliés. La Caisse nationale des allocations familiales (Cnaf) a expliqué à Radio France « ces données n’auraient jamais dû être mises en ligne par le prestataire ». L’organisme a ouvert une enquête en interne afin de « comprendre comment cette situation a pu se produire et mettre en place un système de suivi plus resserré ». Enfin, la CAF de Gironde va informer l’ensemble des allocataires concernés.