Skip to main content
Actualités CNIL & DATA

Les données de plus de 10.000 allocataires de la Caf dévoilées par un prestataire

Par 9 janvier 2023février 4th, 2025Aucun commentaire

À des fins de formation de ses agents, la Caf de Gironde a communiqué à l’un de ses prestataires les données de 10.204 allocataires, qui les a ensuite mis en ligne sur son site, où toute personne pouvait y avoir accès.

Les données concernées sont : le code postal, la date de naissance, la composition et les revenus du foyer, les montants et types de prestations reçues, et des données concernant les enfants, notamment l’existence de garde alternée.

À titre de rappel, une donnée personnelle est une information qui permet d’identifier de manière directe ou indirecte une personne physique : la suppression des noms et des adresses lors de la communication n’empêche alors pas l’identification des allocataires.

Le prestataire de la Caf se défend en arguant qu’il pensait qu’il s’agissait de données fictives : des données réelles ne sont pas nécessaires dans le cadre de son activité, des données simplement réalistes suffisent.

La Caf de Gironde, en tant que responsable de traitement, risque de lourdes sanctions de la CNIL. En effet, la communication des données de plusieurs milliers d’allocataires doit reposer sur une des six bases légales posées par le RGPD, et elle n’a pas répondu à son obligation d’information des personnes concernées de recueil de leur consentement.

À ce jour, le fichier a été retiré du site internet du prestataire, après être resté en ligne pendant 18 mois.

Quels risques encourent les personnes concernées ?

La nature des données révélées implique principalement deux grands risques pour les personnes concernées :

D’une part, l’usurpation d’identité, via l’utilisation frauduleuse des données publiées par des personnes malveillantes pour pourraient contracter au nom de la personne usurpée.

D’autre part, les personnes pourraient être ciblées par des pratiques de phishing, en recevant un faux courrier de la Caf, les incitant à se connecter sur une plateforme frauduleuse.

Pour aller pour loin :

Comment les données confidentielles de 10 000 allocataires de la Caf se sont retrouvées sur internet, Géraldine Hallot, France Inter, 5 janvier 2023

Auteur Nicolas Samarcq

Nicolas Samarcq : fondateur du cabinet Lexagone et de la solution DPM (Data Privacy Manager). Précurseur dans le domaine réglementaire de la protection des données, Lexagone est l’un des premiers cabinets de conseil à proposer un logiciel permettant de tenir le registre des activités de traitement pour piloter sa mise en conformité. La force de Lexagone repose sur ses services de DPO externe et ses accompagnements spécifiques pour des projets innovants ou complexes (IA en santé, AIPD pour les dispositifs e-santé, ….). Nicolas est également administrateur de l’AFCDP Association Française des Correspondants à la protection des Données à caractère Personnel.

Plus d'articles de Nicolas Samarcq

Parlons de votre conformité


Informations de contact

Email : contact@lexagone.fr
Téléphone : +33 (0)972 169 310

Lexagone est présent à :

  • Biarritz
  • Bordeaux
  • Grenoble
  • Lille
  • Lyon
  • Marseille
  • Montpellier
  • Paris
  • Nantes
  • Toulon
lexagone logo

Notre cabinet de conseil RGPD propose des prestations de DPO externe orchestrées par des équipes de juristes spécialisés pour une gouvernance RGPD maîtrisée.

Membre de :

afcdp min
logo apssis h100 min
club decision dsi min

Référencé par :

logo caih 400 copie 0 0 1 min
53a58cfd 2d9c 4a08 84ac f80456cd147b
logo csirt blue
logo footer@2x