Publicité

CAF de Gironde : les données personnelles de 10 000 allocataires mises en ligne par erreur

La CAF de Gironde a communiqué à un prestataire un fichier comportant les données personnelles de 10 204 allocataires.
AFP La CAF de Gironde a communiqué à un prestataire un fichier comportant les données personnelles de 10 204 allocataires.

La cellule investigation de Radio France a dévoilé que la CAF de Gironde avait communiqué des informations confidentielles sur plus de 10 000 allocataires à l’un de ses prestataires, qui les a ensuite mises en ligne, croyant qu’elles étaient « fictives ».

SCANDALE - Les données personnelles de 10 204 allocataires dans la nature. C’est de la Caisse d’allocations familiales (CAF) de Gironde que sont sorties ces informations pourtant confidentielles, comme le révèle ce jeudi 5 janvier une enquête de Radio France.

L’organisme fait appel, pour la formation de ses agents, à un prestataire privé, en région parisienne. Or, pour travailler sur des cas pratiques, la CAF de Gironde a communiqué à ce prestataire un fichier comportant les données personnelles de 10 204 allocataires. Dans ce fichier, pas moins de 181 données par allocataire. Si les noms et prénoms ont été retirés, ainsi que les codes postaux, il est fait mention de leur adresse (numéro et nom de la rue), date de naissance, composition et revenus du foyer, montants et types de prestations reçues (RSA, APL, allocation adulte handicapé…), dates de naissance des enfants, existence d’une garde alternée…

Les allocataires identifiés

Autant d’informations qui permettent, même sans les noms et prénoms, d’identifier des bénéficiaires, comme en a fait l’expérience Radio France à l’aide d’un annuaire inversé sur Internet. Problème : au moment de la formation, en mars 2021, le prestataire met ce fichier en ligne sur son site internet de manière publique. Il suffit de cliquer sur un fichier intitulé caf.zip pour y avoir accès.

« Quand la CAF m’a communiqué ces données, je pensais qu’elles étaient fictives, s’est défendu le prestataire, dont l’anonymat a été préservé par Radio France. Nous n’avons pas besoin de données réelles pour une formation, seulement de données ‘réalistes’. Le fichier a été mis à disposition sur mon site dans le cadre d’une formation en ligne et j’ai omis de le retirer ensuite. »

En ligne pendant 18 mois

Il sera retiré après les interrogations des journalistes, après être resté en ligne pendant 18 longs mois. Au-delà de l’erreur du prestataire, se pose la question de savoir si la CAF était autorisée à transmettre toutes ces données. « La CAF n’avait [...] pas le droit de communiquer ces données si elle n’a pas informé en amont les personnes concernées et obtenu leur consentement », résume Alexandra Iteanu, avocate spécialiste en protection des données, interrogée Radio France.

Le service de presse de la Caisse nationale des allocations familiales (Cnaf) leur a également répondu que « ces données n’auraient jamais dû être mises en ligne par le prestataire » et que ce dernier avait reçu le fichier dans le cadre « d’une formation très restreinte » avec un personnel « soumis au secret professionnel ». La CAF de Gironde va informer les 10 204 allocataires concernés et a ouvert une enquête interne pour « comprendre comment cette situation a pu se produire et mettre en place un système de suivi plus resserré».

VIDÉO- Pension alimentaire : tout savoir sur le versement par la Caf depuis le 1er janvier