L'hebdomadaire satirique Le Canard Enchaîné a révélé dans son édition du 28 décembre 2011 (page 4) de graves défauts de sécurisation dans le système d'information du groupe Crédit Mutuel. La CNIL a signalé lundi 2 janvier qu'elle avait engagé dès le lendemain, 29 décembre, un contrôle inopiné sur place. L'autorité administrative indépendante est actuellement en train d'analyser les résultats de son contrôle et pourrait prochainement prononcer des sanctions contre le groupe bancaire mutualiste, comme la loi le lui permet depuis 2004.
Selon les révélations publiées dans Le Canard Enchaîné, un réseau informatique commun aurait été mis en place entre toutes les entreprises du groupe Crédit Mutuel, y compris les entreprises de presse récemment rachetées (Dernières Nouvelles d'Alsace, Bien Public, Dauphiné Libéré, etc.). Or une mauvaise configuration des droits d'accès et des raccourcis de l'intranet permettrait à des membres des rédactions d'accéder librement aux données personnelles sensibles des clients de la banque ainsi qu'à des échanges confidentiels par e-mail.
Les informations concernées étant particulièrement sensibles, la faute commise serait extrêmement grave si les faits étaient avérés. La loi Informatique et Liberté impose en effet une obligation de sécurisation des données personnelles.
La CNIL se penche sur la sécurité de l'informatique du Crédit Mutuel
L'absence de sécurisation des données sensibles des clients est une infraction à la Loi Informatique et Liberté dont le Crédit Mutuel pourrait s'être rendu coupable.