On pourrait penser à un piratage en bonne et due forme et pourtant, il s'agit là d'une maladresse aux conséquences assez lourdes.

Les données personnelles de près de 10 000 allocataires de la Caf de Gironde se sont retrouvées affichées en clair sur Internet.

Ce sont certains allocataires qui ont alerté de la situation après avoir constaté qu'un ensemble de données pourtant confidentielles étaient disponibles sur la toile : date de naissance, adresse postale, revenus du foyer, prestations sociales reçues de la Caisse d'allocations familiales...

Une erreur qui concerne plus de 10 000 allocataires

Ces données émanent directement de la Caf de Gironde, et c'est au sein même de l'organisme que la fuite a eu lieu, de façon maladroite.

Comme la plupart des organisations gouvernementales, le personnel profite régulièrement de formations tenues par des prestataires privés. Les statisticiens sont particulièrement concernés par ces formations, notamment afin d'apprendre le langage R, un langage de programmation destiné aux statistiques.

C'est lors d'un exercice pratique que la Caf de Gironde a communiqué au prestataire un fichier rassemblant les données personnelles de 10 204 allocataires. Le prestataire pense alors que les données sont fictives et publie le fichier en ligne afin de proposer une basse de données permettant d'organiser des exercices pratiques, et pas uniquement auprès des agents de la Caf mais pour l'ensemble de ses clients.

Le prestataire reconnait être à l'origine du partage, mais précise qu'il pensait que les données étaient fictives. Heureusement, le fichier a rapidement disparu depuis que le scandale a éclaté, mais il aura été accessible sous la forme d'une archive .zip pendant plus de 18 mois.

La Caf se défend tant bien que mal

La responsabilité même de la Caf est pointée du doigt dans l'affaire puisque l'organisme n'avait, semble-t-il, pas le droit de transmettre ce type de données personnelles sensibles à un prestataire tiers, quel qu'il soit.

Le RGPD est plutôt clair sur la situation : pour que le transfert soit légalement possible, il aurait fallu que la CAF obtienne le consentement de l'ensemble des personnes concernées par le partage.

La Caf de gironde de son côté se défend et indique que ces données n'auraient jamais dû être mises en ligne par le prestataire et précise que le partage des données était "soumis à secret professionnel."

Quels risques pour les allocataires ?

Pour les allocataires concernés, outre la vue offerte par ces données sur leur intimité, les risques sont assez conséquents.

Les données partagées sont suffisamment nombreuses et précises pour organiser de vastes campagnes d'usurpation d'identité.

Le risque est également élevé de voir des campagnes de phishing très ciblées s'organiser pour pointer vers les allocataires en question : des criminels pourraient ainsi exploiter les données pour inviter les allocataires à partager d'autres informations plus sensibles encore (bancaires notamment).