Pleurer en CAF. Le bureau d’études de la radio française a indiqué que les informations de 10 024 personnes soutenues par la Fondation Gironde ont été obtenues en ligne sans les cacher pendant 18 mois, sans attirer l’attention du groupe. Ils ont été joués par un prestataire dans le cadre d’un exercice d’entraînement. Il a été averti, le fournisseur de services a retiré l’ensemble de données du site Web et la Caf a promis de contacter les personnes concernées.
Tout a commencé en 2021, lorsque, pour former ses agents à la gestion d’un logiciel statistique, le Caf de Gironde fait appel à un prestataire de la région parisienne, où il lui fournit de nombreuses informations. Si les prénoms, prénoms et codes postaux étaient supprimés, un total de 181 fiches pour chaque bénéficiaire étaient accessibles. On y trouve ainsi l’adresse (numéro et nom de la rue), la date de naissance, mais aussi le contenu de la maison, les revenus ou encore le montant d’usage perçu.
Des données bien réelles
Problème : les informations fournies par la Caf sont destinées aux allocataires de la Caf de la Gironde. « Lorsque la CAF m’a informé de cette information, j’ai cru que c’était un mythe, a expliqué le travailleur de service à nos collègues. Nous n’avons pas besoin de vraies informations pour la formation, seulement de ‘vraies’ informations. Le dossier est fourni sur ma page dans le cadre de ma formation en ligne et je n’ai pas pu la supprimer plus tard ».
Les journalistes n’ont pas à se donner beaucoup de mal pour trouver les propriétaires de ces informations : il leur suffit de saisir l’adresse dans l’annuaire. Lors de chaque essai, l’identité de la personne peut être vérifiée par téléphone. L’opportunité d’apprendre aux propriétaires de ces données qu’ils accèdent à internet depuis 18 mois, suscite « surprise » et « colère ».
Publicité, votre contenu continue ci-dessous
Le service de presse de la Caisse nationale d’aide à la famille (Cnaf) a indiqué à la radio française que « le prestataire n’aurait pas dû mettre ces informations en ligne » et qu’il a reçu le dossier dans le cadre d’un « exercice de formation » limité « avec des salariés » sous la responsabilité encadrement de professionnels qualifiés. La CAF a promis d’ouvrir une enquête interne pour comprendre les raisons de ce fiasco, la CNIL va également se pencher sur la question.
Une faute partagée ?
Le groupe La Quadrature du Net a souligné que « la CAF semble avoir ignoré les règles de dissimulation des données personnelles », rappelant qu’il faut par exemple effacer des données personnelles telles que l’adresse et la date de naissance afin de réduire la possibilité d’identifier les personne se cache derrière beaucoup.
Elle a également déclaré que la base de données avait été publiée sans protéger son accès. Donc apparemment le prestataire n’a pas pris la peine de chiffrer les données avant de les mettre en ligne, et aucun mot de passe n’a été demandé aux personnes formées pour accéder au fichier. Aussi, rappelons-nous que Caf est dans l’oeil du groupe depuis quelques semaines, après la divulgation d’un algorithme utilisé par le groupe. Il est destiné à détecter les erreurs et les fraudes dans le versement des prestations aux allocataires, et il contribuera à orienter le contrôle.