Les données personnelles de 10.000 bénéficiaires de la CAF diffusées en ligne par erreur

Durant un an et demi, les données personnelles de plus de 10.000 allocataires de la Caisse d’allocations familiales (CAF) étaient en accès libre sur internet. Révélée par la cellule investigation de Radio France, cette fuite n’est pas l'œuvre d’un groupe de cybercriminels, mais simplement d’un prestataire de la CAF. La mise en ligne des informations sensibles remonte au mois de mars 2021 dans le cadre d’une formation d’agents de la CAF.

Afin d’apprendre un langage de programmation dans le domaine des statistiques, la CAF de Gironde a fourni un fichier regroupant des informations sur 10.204 personnes bénéficiant des allocations de l’organisme. Elles sont ensuite mises en ligne par le prestataire en charge de la formation. Seul problème, l'ensemble de ces données personnelles sont bien réelles.

"Je pensais qu'elles étaient fictives"

Ce lot de données était nécessaire dans le cadre des exercices pratiques accompagnant la formation des agents. "Quand la CAF m’a communiqué ces données, je pensais qu’elles étaient fictives", s’est défendu le prestataire, basé en région parisienne, auprès de Radio France. Il explique d’ailleurs qu’il n’avait aucun besoin de données réelles pour assurer sa formation, seulement de données réalistes.

Encore accessible le 1er janvier, le fichier en question a depuis été retiré du site du prestataire. Si les noms et prénoms ont été retirés du lot de données, elles n'étaient pas pour autant anonymisées, déplore La Quadrature du Net. L’association de défense des libertés fondamentales dans l’environnement numérique indique que les adresses ou les dates de naissance restent des informations directement identifiantes.

181 données précises par allocataire

D’ailleurs, la cellule investigation de Radio France n’a eu aucun mal à contacter des allocataires de la CAF dont les données personnelles étaient disponibles en ligne. Elle a ainsi retrouvé l’identité des personnes en saisissant leur adresse dans un annuaire inversé. La Quadrature du Net précise qu’un site comme celui des Pages jaunes suffisait à l’opération.

Au total, le fichier libre d’accès comportait 181 données précises sur chacun des allocataires. Sexe, nationalité, date de naissance et adresse étaient affichées pour tous. S'ajoutaient des informations sur les logements, les situations personnelles, médicales, professionnelles et familiales. L’activité des conjoints était mentionnée, tout comme la date de naissance des enfants des bénéficiaires. Enfin, les montants des allocations perçues étaient détaillées.