CAF de Gironde : les données personnelles de plus 10 000 allocataires publiées en ligne
Écrit par Jonathan PIRIOU sur janvier 5, 2023
Vous pouvez partager un article en cliquant sur les icônes de partage en haut à droite de celui-ci.
La reproduction totale ou partielle d’un article, sans l’autorisation écrite et préalable du Monde, est strictement interdite.
Pour plus d’informations, consultez nos conditions générales de vente.
Pour toute demande d’autorisation, contactez droitsdauteur@lemonde.fr.
En tant qu’abonné, vous pouvez offrir jusqu’à cinq articles par mois à l’un de vos proches grâce à la fonctionnalité « Offrir un article ».
Un fichier contenant les données de plus de 10 000 bénéficiaires de la Caisse d’allocations familiales (CAF) de Gironde est resté en accès libre sur Internet pendant dix-huit mois, comme le révèle la cellule d’investigation de Radio France, jeudi 5 janvier. Transmises en mars 2021 par la CAF de Gironde à l’un de ses prestataires, dont le nom n’a pas été révélé, ces données – qui correspondaient à de véritables allocataires – avaient vocation à être utilisées dans des exercices sur des outils de statistiques à destination des employés de la CAF, mais ont été mises en ligne sur le site Web du prestataire, librement accessibles aux internautes.
Le fichier en question ne donnait pas les noms et prénoms des personnes concernées, mais contenait tout de même de nombreuses informations personnelles : adresse, date de naissance, revenus, montants, ou encore type de prestation reçue de la part de la CAF. Selon Radio France, le dossier rassemblait ainsi 181 points de données par allocataire recensé, ce qui rend leur « désanonymisation » extrêmement simple.
Enquête ouverte
Le prestataire a retiré le fichier de son site lorsque cette fuite de données lui a été signalée par les journalistes. Il explique néanmoins qu’il n’avait pas conscience que les données qu’il contenait provenaient de véritables allocataires de la CAF de Gironde. Les différents exercices mis en place par ce prestataire parisien ne nécessitent, en effet, pas le recours à des données réelles, ce qui explique, selon lui, que le fichier incriminé n’ait pas été traité avec les précautions nécessaires en matière de protection des données personnelles.