Les données personnelles de plus de 1000 allocataires de la Caisse d’allocations familiales (CAF) de Gironde ont été publiées en mars 2021 par un prestataire. Les informations sont restées plus d’un an en ligne.
Ce sont 180 données par allocataire qui ont été publiées en mars 2021, par un prestataire chargé de former des agents. Si les prénoms et noms n’ont pas été rendus public, d’autres données personnelles tout aussi importantes ont été mise en ligne. Les revenus des foyers, les montants et les types d’allocations ainsi que les dates de naissance et adresses des allocataires ont été dévoilées, permettant leur identification.
Le prestataire alors chargé de dispenser la formation aux agents, a mis en ligne les données personnelles contenues dans un fichier sur son site internet, croyant que les informations qui lui avaient été transmises afin d’effectuer la formation n’étaient que fictives. Alors publié sur le site partenaire, le fichier serait resté en ligne durant un an et demi, selon Radio France et accessible à tous.
« Quand la CAF m’a communiqué ces données, je pensais qu’elles étaient fictives (…) nous n’avons pas besoin de données réelles pour une formation, seulement de données réalistes (…) ces exercices auraient pu être réalisés avec des jeux de données anodins. »
Si le prestataire a eu en premier lieu accès aux données personnelles des allocataires, c’est parce que la CAF les lui a transmises, ce qui soulève la question de la protection des données personnelles. Pour l’association La Quadrature du Net, rien ne justifie que la Caisse d’allocations familiales puisse transmettre ces informations sensibles à des prestataires privés.
« Ce transfert de données semble donc révéler (…) un sentiment de propriété de nos données personnelles de la part des responsables, qui semblent trouver cela normal de les transférer sans aucune raison à des prestataires privés », a confié l’association à 20Minutes.
Une incompréhension partagée par les allocataires dont la plupart n’ont toujours pas connaissance de la publication de leurs données personnelles, après les révélations des journalistes de Radio France.
La CAF bientôt sanctionnée ?
Pour Alexandra Iteanu, la CAF a violé le règlement général sur la protection des données (RGPD). « Pour qu’un transfert de données personnelles soit légal, il doit reposer sur l’une des six bases légales imposées par le RGPD : le consentement, le contrat, la mission d’intérêt public, la sauvegarde d’intérêts vitaux, l’intérêt légitime et l’obligation légale. La CAF n’avait donc pas le droit de communiquer ces données si elle n’a pas informé en amont les personnes concernées et obtenues leur consentement », a t-elle affirmé à Franceinfo.
Les allocataires dont les données personnelles ont été révélées, pourraient également être les cibles d’usurpations d’identités. C’est ce que craint Bastien Le Querrec, qui explique à France info que « le risque le plus grand est l’usurpation d’identité (…) il peut y avoir aussi du ciblage malveillant. Par exemple, on reçoit un message qui dit ‘faites telle démarche pour votre enfant’, et on se connecte sur une plateforme frauduleuse ». Cette fuite des données personnelles des allocataires pourrait donc avoir de réelles conséquences pour ces derniers.
La CNIL, notifiée d’une violation de données, pourrait sanctionner à la fois la CAF et le prestataire privé n’ayant pas respecté la loi sur la protection des données personnelles.