Les données personnelles de 10 204 allocataires de la CAF mises en ligne.
La cellule investigation de Radio France a révélé, le jeudi 5 janvier 2023, que les données personnelles de 10 204 allocataires de la caisse d’allocation familiale (CAF) de Gironde avaient été, durant un an et demi, en accès libre sur internet. Cette fuite, particulièrement importante, est due à une erreur de l’organisme et de l’un de ses prestataires.
La CAF de Gironde, qui forme de manière régulière ses agents, notamment dans l’apprentissage d’un langage de programmation destiné aux statistiques (langage R), fait appel à un prestataire basé en région parisienne. C’est dans le cadre de ces formations, alliant théorie et cas pratiques, que l’organisme chargé d’une mission publique a, au cours de l’année 2021, transmis à la structure de formation un fichier comportant les données personnelles de 10 204 allocataires.
Celle-ci, lors de la formation au mois de mars 2021, a publié le fichier sur son site internet. L’accès n’étant pas réservé aux seuls agents, chacun était en mesure de se procurer les données personnelles en téléchargeant un document intitulé « Caf.zip ». Le prestataire, qui a supprimé le fichier dans les premiers jours de l’année 2023, a déclaré aux journalistes qu’il ignorait la nature réelle du fichier, « Quand la Caf m’a communiqué ces données, je pensais qu’elles étaient fictives ». Il avait, ensuite, « omis » le fait de retirer le document du site internet après la fin de la formation, laissant ainsi les données personnelles accessibles par tous durant 18 mois.
La nature des données personnelles
Le fichier, bien que ne contenant pas les noms, prénoms et codes postaux des 10 204 allocataires, est riche de nombreuses informations. En effet, on y trouve notamment adresses (numéro et nom de la rue), dates de naissances, composition et revenus du foyer, montants et types de prestations reçues mais également les dates de naissances des enfants et l’existence de potentielles gardes alternées. Ce n’est pas moins, au total, de 181 données personnelles par allocataire, dont certaines sensibles, qui y sont présentes. Permettant ainsi, de manière assez simple, de retrouver l’identité de chacun, bien que leurs noms n’y apparaissent pas.
Un problème juridique
Au-delà du fait que le prestataire ait publié ce fichier sur son site internet, c’est la transmission même de ce document par la CAF à un tiers qui prête à réflexion. En effet, pour que la transmission de données personnelles soit légale, elle doit reposer sur l’une des six bases légales imposées par le Règlement général sur la protection des données, ici le « consentement ». Hors, lorsqu’une des quelques 10 204 personnes concernées fût contactée par les journalistes, peu avant les fêtes, elle déclara « tombée des nues » à l’annonce de cette nouvelle, « Je n’étais pas au courant, vous me l’apprenez« .
L’on peut, légitimement, s’interroger sur le fait que l’organisation ait désigné un DPO. Celui-ci étant, entre autres, chargé de contrôler le respect du droit national consacré en matière de protection des données personnelles, notamment concernant les finalités des traitements mis en place.
La Caisse des allocations familiales de Gironde va informer les allocataires et a annoncé l’ouverture d’une enquête pour déterminer comment cette situation a pu arriver.
Source :
Précédent article de Data Privacy prrofessionals :
