Selon les informations du service enquête de Radio France, la CAF de Gironde a transmis des informations confidentielles sur plus de 10.000 destinataires à l’un de ses prestataires, qui se charge de former ses agents. Ce prestataire a ensuite mis ces données sur Internet, les considérant comme « fictives ».

Mme L., une habitante du village d’Églisottes-et-Chalaures en Gironde, contactée juste avant les vacances, « est tombée des nues » : sa date de naissance, celle de son mari, son adresse, le montant de ses prestations de la Caisse d’allocations familiales (CAF) ont touché et même leurs gains se sont retrouvés sur internet. « Je ne savais pas, tu me diras », nous a dit le quinquagénaire au téléphone. Il en va de même pour Madame F. de Saint-Sulpice-et-Cameyrac, Madame B. de Cabanac-et-Villagrains et une dizaine d’autres personnes que nous avons contactées. Stupeur et un peu de colère aussi.

>> La Caisse d’allocations familiales utilise un algorithme pour identifier les allocataires « à risque »

L’origine de cette « fuite » révélée par la cellule d’investigation de Radio France réside dans la caisse familiale girondine. L’organisme (de statut privé, qui, comme toutes les CAF, a une mission publique) forme régulièrement son personnel, notamment ses statisticiens. Pour leur apprendre le langage R, un langage de programmation pour les statistiques, il s’est tourné vers un prestataire de services en région parisienne. Et comme dans chaque formation, il y a des cas pratiques avec des exercices.

Plus de 180 données par allocataires dévoilées 

Dans ce cadre, la CAF de Gironde a transmis à son client un fichier contenant les données personnelles d’exactement 10 204 bénéficiaires. Les noms et prénoms ont été supprimés, ainsi que les codes postaux, mais de nombreuses informations subsistent : adresse (numéro et nom de la maison), date de naissance, composition et revenus du foyer, montant et nature des prestations perçues (RSA, APL, Allocation Adulte Handicapé, etc.), au total pas moins de 181 données divulguées par bénéficiaire. Les dates de naissance des enfants et l’existence d’une garde partagée sont également mentionnées dans le dossier. La suppression des noms et prénoms n’empêche en rien l’identification des destinataires, nous avons pu déterminer l’identité de la plupart d’entre eux en utilisant l’annuaire inversé sur Internet.

Au moment de la formation, en mars 2021, le prestataire met en ligne ce dossier sur son site internet (voir captures d’écran ci-dessous). L’accès à ces données n’est pas seulement réservé aux agents de la CAF, mais est ouvert à tous. Cliquez simplement sur un fichier appelé « CAF.zip ». « Quand la CAF m’a envoyé ces données, je pensais que c’était fictif », se défend aujourd’hui le prestataire, dont nous maintenons l’anonymat. « Nous n’avons pas besoin de données réelles pour la formation, juste de données « réalistes ». Le fichier a été mis à disposition sur mon site dans le cadre d’une formation en ligne et je ne l’ai pas supprimé par la suite. » Dès que nous l’avons contacté, ce formateur a supprimé le fichier de son site Internet. Il y sera resté… 18 mois.

À Lire  Le ministre Pap Ndiaye annonce de possibles CDI pour les assistants d'éducation après six ans d'expérience

Outre cet « oubli », la transmission de ces données par la CAF à des tiers pose question. « Il s’agit d’informations personnelles sensibles. Je ne pense pas que la CAF ait légalement le droit d’exporter ces données », explique Bastien Le Querrec, avocat à La Quadrature du Net. « Nous avons une fenêtre sur la vie privée de plus de 10 000 personnes avec des informations très précises », a déclaré Alexandre, un autre membre de l’association qui a témoigné sous un faux nom. « C’est très problématique que la CAF se permette d’envoyer ces données à un prestataire privé, ils auraient pu réaliser cette formation avec un ensemble de données fictives », poursuit-il.

Un risque d’usurpations d’identité et d’arnaques

Alors que dit la loi ? Selon Alexandra Iteanu, avocate en protection des données, « Un transfert de données personnelles doit licitement reposer sur l’une des six bases juridiques imposées par le RGPD [Règlement général sur la protection des données] : consentement, contrat, mission d’intérêt public, sauvegarde des intérêts vitaux, intérêt légitime et obligation légale. La CAF n’était donc pas autorisée à divulguer ces données si elle n’avait pas préalablement informé les personnes concernées et obtenu leur consentement », conclut l’avocat.

Trois types de sanctions peuvent être prononcées dans ce type de situation : administrative (prononcées par la Cnil), civile et même pénale. Il faut dire que le préjudice pour les receveurs peut être important. « Avec autant de données disponibles en ligne, le plus grand risque est l’usurpation d’identité », explique Bastien Le Querrec. « Il peut également y avoir un ciblage malveillant. Par exemple, nous recevons un message disant « faites ceci pour votre enfant » et nous nous connectons à une plateforme frauduleuse.

Interrogé sur l’affaire, le service de presse de la Caisse nationale des allocations familiales (Cnaf) a répondu que « ces données n’auraient jamais dû être mises en ligne par le prestataire » et que ce dernier a reçu le dossier dans le cadre d’une « formation très limitée ». . avec des salariés soumis au secret professionnel. Le document, nous dit-on, avait un usage « interne uniquement ». La CAF de Gironde informera les 10.204 bénéficiaires concernés et a lancé une enquête interne pour « comprendre comment cette situation a pu se produire et mettre en place un dispositif de suivi plus rigoureux ».

Pour transmettre des informations de manière anonyme et sécurisée à la cellule d’enquête de Radio France, vous pouvez désormais cliquer ici : alerter.radiofrance.fr