Voilà une négligence qui pourrait coûter très cher à la caisse d’allocations familiales (CAF) de Gironde. Juste avant les fêtes de fin d’année, la cellule investigation de Radio France a enquêté sur une fuite de données personnelles au sein de cet organisme. Il s’avère qu'il a communiqué à l’un de ses prestataires de formation, basé en région parisienne, un fichier contenant des informations sensibles et personnelles de 10 204 allocataires. Ce qui s’en suit est une suite d’erreurs commises par les différents protagonistes. Tout d’abord, pour quelle raison la société de formation a-t-elle pu avoir ce fichier en sa possession ? Elle est chargée de former les agents de la CAF, notamment les statisticiens, révèle France Info. Toutefois, le prestataire se défend d'avoir demandé à travailler avec de véritables informations, et la CAF de Gironde a apparemment omis de préciser qu’il s’agissait d’actuels allocataires.
Ainsi, lors de la transmission du fichier, les noms et prénoms ont été enlevés ainsi que les codes postaux mais il reste beaucoup d’autres informations : adresse (numéro et nom de la rue), date de naissance, composition et revenus du foyer, montants et types de prestations reçues (RSA, APL, allocation adulte handicapé...), précise France Info. Pour chaque dossier, pas moins de 181 variables sont disponibles. La suppression des noms et prénoms n’a par ailleurs pas été un frein dans l’identification des allocataires, l’enquête des journalistes a permis de retrouver l'identité de la plupart d’entre eux. La seconde erreur commise cette fois-ci par le prestataire est la mise en ligne du fichier sur son site Web en mars 2021, date de la formation. Accessible à tous, aussi bien aux agents de la CAF qu’à n’importe quel visiteur du site, et sans aucune protection de chiffrement, le fichier pouvait être téléchargé en un clic.
Une défense bancale, une enquête interne ouverte
Contacté lors de l’enquête, le prestataire s’est défendu en précisant ne pas savoir au moment des faits que ce fichier contenait des informations réelles et non fictives. Il ajoute avoir ensuite oublié de le retirer, jusqu’à cette semaine donc. Une nouvelle qui n’a pas manqué de faire réagir La Quadrature du Net, qui avait déjà la CAF dans le viseur depuis quelques mois concernant son algorithme de notation des allocataires. « Ce transfert de données semble donc révéler le peu de cas que la CAF fait de nos données personnelles. Ou plutôt un sentiment de propriété de nos données personnelles de la part de ses responsables, qui semblent trouver cela normal de les transférer sans aucune raison à des prestataires privés… Ou de les utiliser pour développer un algorithme de notation ciblant les plus précaires » déclare l’association.
Elle ajoute : « Ainsi la CAF semble ignorer les principes de base de l’anonymisation des données personnelles. Une anonymisation correcte nécessite bien plus de traitements de manière qu’il ne soit pas possible d’identifier les individus auxquels sont rattachés les données. Il faut par exemple supprimer, ou a minima modifier, les informations directement identifiantes (date de naissance et adresse par exemple) ». Il est très probable que la Cnil mène l’enquête de son côté qui pourrait à terme se traduire par une sanction pour manquement au RGPD. Pour ce qui est de la défense de la CNAF, l’organisme national regroupant l’ensemble des CAF de France répond que « ces données n’auraient jamais dû être mises en ligne par le prestataire » et le document devait avoir un usage strictement interne. Une enquête interne va donc être ouverte au sein de la CAF Gironde et les 10 204 allocataires vont être informés de la fuite.