Cookies publicitaires sur Bing : Microsoft écope d’une amende de 60 millions d’euros
29 décembre 2022Cyberattaques : les hôpitaux comme cible de choix pour les hackers
12 janvier 2023Les données de plus de 10.000 allocataires de la Caf dévoilées par un prestataire
À des fins de formation de ses agents, la Caf de Gironde a communiqué à l’un de ses prestataires les données de 10.204 allocataires, qui les a ensuite mis en ligne sur son site, où toute personne pouvait y avoir accès.
Les données concernées sont : le code postal, la date de naissance, la composition et les revenus du foyer, les montants et types de prestations reçues, et des données concernant les enfants, notamment l’existence de garde alternée.
À titre de rappel, une donnée personnelle est une information qui permet d’identifier de manière directe ou indirecte une personne physique : la suppression des noms et des adresses lors de la communication n’empêche alors pas l’identification des allocataires.
Le prestataire de la Caf se défend en arguant qu’il pensait qu’il s’agissait de données fictives : des données réelles ne sont pas nécessaires dans le cadre de son activité, des données simplement réalistes suffisent.
La Caf de Gironde, en tant que responsable de traitement, risque de lourdes sanctions de la CNIL. En effet, la communication des données de plusieurs milliers d’allocataires doit reposer sur une des six bases légales posées par le RGPD, et elle n’a pas répondu à son obligation d’information des personnes concernées de recueil de leur consentement.
À ce jour, le fichier a été retiré du site internet du prestataire, après être resté en ligne pendant 18 mois.
Quels risques encourent les personnes concernées ?
La nature des données révélées implique principalement deux grands risques pour les personnes concernées :
D’une part, l’usurpation d’identité, via l’utilisation frauduleuse des données publiées par des personnes malveillantes pour pourraient contracter au nom de la personne usurpée.
D’autre part, les personnes pourraient être ciblées par des pratiques de phishing, en recevant un faux courrier de la Caf, les incitant à se connecter sur une plateforme frauduleuse.
Pour aller pour loin :
Comment les données confidentielles de 10 000 allocataires de la Caf se sont retrouvées sur internet, Géraldine Hallot, France Inter, 5 janvier 2023