Bourde à la CAF : Les données de 10 000 allocataires dévoilées
La Caf de Gironde a partagé les données personnelles de 10 000 bénéficiaires avec l'un de ses prestataires, qui forme ses agents. Ce prestataire les a par la suite mis en ligne pour leur formation, les jugeant « fictifs ».
Une erreur très gênante pour la Caf
Avant les fêtes, Madame L., une habitante du village des Églisottes-et-Chalaures dans le département de la Gironde, était "stupéfaite". Sa date de naissance, la date de naissance de son mari, leur adresse, le montant des prestations qu'elles perçoivent de la Caisse d'allocations familiales (Caf) ou encore leurs revenus sont consultables en ligne. Elle ne savait pas, a déclaré le quinquagénaire au téléphone. Ainsi que Mme F. de Saint-Sulpice-et-Cameyrac, Mme B. de Cabanac-et-Villagrains, et encore d’autres dizaine contactés. Abasourdi et un peu en colère.
L'équipe d'enquête de Radio France vous révèle que la source de cette "fuite" est la Caisse d'Allocations Familiales de la Gironde. L'organisme (statut privé, chargé de missions de service public, comme toutes les CAF) forme très bien ses agents, surtout ses statisticiens. Cela concerne l’apprentissage du langage R, un langage de programmation pour les statistiques, il s'est rendu chez un prestataire de services en région parisienne.
Comme pour toute formation, il y a des exemples pratiques et des exercices.
L’adresse, la date de naissance et les revenus du ménage communiqué en public
La Caf de Gironde a donné à ses clients un document contenant les données personnelles de 10 204 destinataires. Noms, prénoms et codes postaux ont été supprimés, mais de nombreuses informations subsistent : adresse (numéro et nom de la rue), date de naissance, composition et revenus du foyer, montant et type de prestations perçues (RSA, APL, Allocation Adulte Handicapé, etc.), chaque bénéficiaire a communiqué au total pas moins de 181 données. Même la date de naissance de l'enfant et l'existence d'une garde partagée sont mentionnées dans le dossier. La suppression des noms et prénoms n'empêche en rien l'identification des destinataires, puisque nous avons pu connaître l'identité de la plupart d'entre eux en utilisant les annuaires inversés sur Internet.
Durant la formation du mois de mars 2021, le prestataire avait mis ce fichier sur son site internet. Il n’est pas utilisé uniquement par les agents de la Caf, ces données sont accessibles à tous. Cliquez simplement sur un fichier appelé caf.zip.
Pour se défendre, le prestataire disait avoir pensé qu’il s’agissait d’informations fictives. Pour une formation, il n’est pas question de vraies données, mais seulement des informations réalistes. Le fichier a été mis en ligne pour une formation en ligne, il était impossible de le supprimer. Le formateur a dit avoir retiré le fichier malgré le fait qu’il soit resté sur le site durant 18 mois.
La Caf de Gironde porte accuse un prestataire et va effectuer une enquête
Dans ce cas, les sanctions peuvent être les suivantes : administratives (données par la CNIL), civiles et même pénales. L’outrage causé par cette fuite de données est conséquent pour les allocataires. Le plus grand risque est l’usurpation d’identité et aussi un ciblage malveillant demandant la connexion à un site frauduleux.
Interrogé sur l'affaire, le service de presse de la Caisse nationale des allocations familiales (Cnaf) a répondu que "le prestataire n'aurait jamais dû mettre ces données en ligne" et que ce dernier avait reçu les documents avec "une formation très limitée". Certains salariés sont soumis au secret professionnel. Le document avait apparemment des fins "strictement internes".
La CAF de Gironde va l’annoncer aux 10.204 bénéficiaires concernés et a lancé une enquête interne pour "comprendre l’origine de cet incident. Une mise en place d’un dispositif de contrôle plus strict va se faire.