Contactée juste avant les fêtes, Madame L., habitante du village des Églisottes-et-Chalaures en Gironde, est “tombée des nues”. Sa date de naissance, celle de son mari, leur adresse, le montant des prestations qu’ils reçoivent de la Caisse d’allocations familiales (Caf) et même leurs revenus se sont retrouvés sur internet. “Je n’étais pas au courant, vous me l’apprenez”, nous dit la quinquagénaire au téléphone. Idem pour Madame F. de Saint-Sulpice-et-Cameyrac, Madame B. de Cabanac-et-Villagrains et une dizaine d’autres personnes que nous avons jointes. Stupeur et un peu de colère aussi.

ⓘ Publicité

L’origine de cette “fuite” que la cellule investigation de Radio France vous révèle, se trouve à la caisse d’allocations familiales de Gironde. L’organisme (de statut privé, chargé d’une mission de service public, comme toutes les Caf) forme régulièrement ses agents, notamment ses statisticiens. Pour leur apprendre le langage R, un langage de programmation destiné aux statistiques, il fait appel à un prestataire basé en région parisienne. Et comme dans toutes les formations, il y a des cas pratiques avec des exercices.

Dans ce cadre-là, la Caf de Gironde a communiqué à son client un fichier comportant les données personnelles de 10 204 allocataires précisément. Les noms et prénoms ont été enlevés ainsi que les codes postaux mais il reste beaucoup d’informations : adresse (numéro et nom de la rue), date de naissance, composition et revenus du foyer, montants et types de prestations reçues (RSA, APL, allocation adulte handicapé...), au total, pas moins de 181 données par allocataire ont été dévoilées. Même les dates de naissance des enfants et l’existence d’une garde alternée sont mentionnées dans le fichier. La suppression des noms et des prénoms n’empêche nullement d’identifier les allocataires car en utilisant l’annuaire inversé sur internet, nous avons pu retrouver l'identité de la plupart d’entre eux.

Au moment de la formation, en mars 2021, le prestataire met ce fichier en ligne sur son site internet (voir captures d’écran ci-dessous). Loin d’être réservé aux seuls agents de la Caf, l’accès à ces données est possible par tout un chacun. Il suffit de cliquer sur un fichier intitulé caf.zip. “Quand la Caf m’a communiqué ces données, je pensais qu’elles étaient fictives”, se défend aujourd’hui le prestataire, dont nous préservons l’anonymat. “Nous n’avons pas besoin de données réelles pour une formation, seulement de données ‘réalistes’. Le fichier a été mis à disposition sur mon site dans le cadre d’une formation en ligne et j’ai omis de le retirer ensuite.” Dès que nous l’avons contacté, ce formateur a enlevé le fichier de son site. Il y sera tout de même resté... 18 mois.

Captures d’écran du site du prestataire de la Caf (1er janvier 2023) et de l’extraction de données effectuée.

Au-delà de cet “oubli”, c’est la transmission même de ces données par la Caf à un tiers qui pose question. “Il s’agit de données personnelles sensibles. Je ne pense pas que la Caf avait juridiquement le droit d’exporter ces données, explique Bastien Le Querrec, juriste à la Quadrature du Net. “On a une fenêtre sur la vie intime de plus de 10 000 personnes avec des informations très précises”, déplore Alexandre*, un autre membre de l’association. C’est très problématique que la Caf se permette d’envoyer ces données à un prestataire privé, elle aurait pu faire cette formation avec un jeu de données fictives”, poursuit-il. Alors que dit le droit ? D’après Alexandra Iteanu, avocate spécialiste en protection des données, “pour qu’un transfert de données personnelles soit légal, il doit reposer sur l’une des six bases légales imposées par le RGPD [Règlement général sur la protection des données, NDLR] : le consentement, le contrat, la mission d’intérêt public, la sauvegarde d’intérêts vitaux, l’intérêt légitime et l’obligation légale. La CAF n’avait donc pas le droit de communiquer ces données si elle n’a pas informé en amont les personnes concernées et obtenu leur consentement”, conclut l’avocate. Dans ce genre de situations, les sanctions peuvent être de trois types : administratives (prononcées par la Cnil), civiles et même pénales. Il faut dire que le préjudice peut être important pour les allocataires. “Avec autant de données disponibles en ligne, le risque le plus grand est l’usurpation d’identité, explique Bastien Le Querrec. Il peut y avoir aussi du ciblage malveillant. Par exemple, on reçoit un message qui dit ‘faites telle démarche pour votre enfant’, et on se connecte sur une plateforme frauduleuse.” Interrogé sur cette affaire, le service de presse de la Caisse nationale des allocations familiales (Cnaf) répond que “ces données n’auraient jamais dû être mises en ligne par le prestataire” et que ce dernier avait reçu le fichier dans le cadre “d’une formation très restreinte” avec un personnel “soumis au secret professionnel”. Le document, nous précise-t-on, avait un usage “strictement interne”. La CAF de Gironde va informer les 10 204 allocataires concernés et a ouvert une enquête interne pour “comprendre comment cette situation a pu se produire et mettre en place un système de suivi plus resserré”.

*Prénom d’emprunt

Lancer une alerte :

Pour transmettre une information à la cellule investigation de Radio France de manière anonyme et sécurisée, vous pouvez désormais cliquer ici : alerter.radiofrance.fr