Les données personnelles de 10 000 allocataires de la CAF de Gironde mises en ligne par erreur
Sont restées en libre accès pendant un an et demi
La Caisse d’allocations familiales (CAF) de Gironde a partagé avec l'un de ses prestataires chargés de former ses agents (à la programmation en langage R) des données personnelles de 10 204 allocataires sous forme de fichier .zip. Le prestataire les a ensuite mis en ligne pensant qu’il s’agissait de données fictives destinées à la formation que la CAF avait mises à sa disposition. Résultat : dates de naissance, composition du foyer, adresses, revenus et montants reçus de la CAF de ces allocataires se sont trouvées sur Internet en libre accès sur Internet et ce, pendant un an et demi.
« L’origine de cette "fuite" que la cellule investigation de Radio France vous révèle, se trouve à la caisse d’allocations familiales de Gironde. L’organisme (de statut privé, chargé d’une mission de service public, comme toutes les CAF) forme régulièrement ses agents, notamment ses statisticiens. Pour leur apprendre le langage R, un langage de programmation destiné aux statistiques, il fait appel à un prestataire basé en région parisienne. Et comme dans toutes les formations, il y a des cas pratiques avec des exercices.
Dans ce cadre-là, la CAF de Gironde a communiqué à son client un fichier comportant les données personnelles de 10 204 allocataires précisément. Les noms et prénoms ont été enlevés ainsi que les codes postaux, mais il reste beaucoup d’informations : adresse (numéro et nom de la rue), date de naissance, composition et revenus du foyer, montants et types de prestations reçues (RSA, APL, allocation adulte handicapé...), au total, pas moins de 181 données par allocataire ont été dévoilées. Même les dates de naissance des enfants et l’existence d’une garde alternée sont mentionnées dans le fichier. La suppression des noms et des prénoms n’empêche nullement d’identifier les allocataires, car en utilisant l’annuaire inversé sur internet, nous avons pu retrouver l'identité de la plupart d’entre eux.
Au moment de la formation, en mars 2021, le prestataire met ce fichier en ligne sur son site internet (voir captures d’écran ci-dessous) », rapporte la cellule d’investigation de Radio France.
Le prestataire a donc mis en ligne les données (qu’il pensait créées de toutes pièces par la CAF) en mars 2021 pour les cas pratiques de formation en ligne des agents de la CAF à la programmation en langage R. Il a ensuite omis de supprimer le fichier et ne l’a retiré qu’après le signalement de Radio France, soit 18 mois plus tard. La cellule d’investigation rapporte en sus que l’utilisation d’un annuaire inversé sur Internet permettait de retrouver les noms et prénoms des allocataires et donc de les identifier.
Le partage de données initié par la CAF n’est pas conforme aux dispositions du RGPD qui requiert au préalable le consentement de chaque personne concernée. En d’autres termes, les allocataires auraient dû accepter bien en amont un tel partage. Des poursuites judiciaires pourraient donc suivre.
Et vous ?
Quel commentaire faites-vous de cette situation ?
Voir aussi :
Un chercheur en sécurité a découvert plus de 1500 identifiants Amazon Ring en vente sur le Dark Net, permettant d'accéder à l'ensemble des appareils connectés aux sonnettes
Amazon et Ring distribuent leurs dispositifs de surveillance connectés en utilisant les agents de police, comme des représentants commerciaux
Plus de 267 millions de noms et de numéros de téléphone provenant de Facebook ont été divulgués en ligne, selon des chercheurs en sécurité
De nombreux systèmes militaires américains critiques pour la sécurité utilisent désormais Linux, un système d'exploitation qui répond au mieux aux exigences du gouvernement ?
Partager