Dans son bilan annuel, publié hier, la Cnil cite un cas de « diffusion massive d’informations sensibles » liées au crédit immobilier et à l’assurance emprunteur. Sans toutefois nommer l’établissement concerné, et en précisant que la fuite de données en ligne a rapidement été corrigée.

En 2016, la Cnil a reçu 7.703 plaintes, en légère diminution par rapport à 2015 (7.908 plaintes). Parmi elles : 33% concernaient la diffusion de données personnelles sur internet, et 9% la banque ou le crédit. Dans la catégorie bancaire, comme souvent, c’est l’absence de retrait des fichiers FICP et FCC (1) qui constitue le principal motif de plainte.

Dans son rapport annuel, la Cnil détaille quelques « histoires vécues ». Parmi elles : la « fuite de données en ligne » de « M. et Mme Dumont ». Ce couple d’emprunteurs a en effet contracté un prêt immobilier, et une assurance emprunteur, pour un projet de chambre d’hôte.

Des données médicales en ligne par erreur

En cherchant à promouvoir leur business sur le web, Mme Dumont « découvre, en tapant ses nom et prénom sur les moteurs de recherche, que des données personnelles relatives à sa demande de prêt ainsi que celles de son mari apparaissent dans la liste des résultats », raconte la Cnil : adresse, date de naissance, « nombre et montants de ses prêts immobiliers ». Mais aussi des données médicales liées à l’assurance emprunteur : « son poids, sa taille et des informations d’ordre médicales ». Le couple, « catastrophé », saisit la Cnil.

La commission de l’informatique et des libertés contrôle alors « les locaux de la société concernée », qu’elle ne cite pas dans ce rapport annuel. La Cnil comprend alors que Mme et M. Dumont ne sont pas forcément les seuls concernés par cette fuite de données, puisque celle-ci était liée à « une erreur de paramétrage d’un serveur ». La Cnil enjoint cette société de rectifier « immédiatement » ce paramétrage pour lettre fin à « cette diffusion massive d’informations sensibles ». Puis la commission demande un déréférencement aux moteurs de recherche. Résultat : « les donnés du couple Dumont et des autres plaignants ne sont rapidement plus en ligne ».

Profitez de la forte baisse des taux pour réaliser votre projet !

Un avertissement pour l’établissement fautif

Dans son rapport la Cnil souligne la « gravité des faits constatés ». Cependant, après avoir initié une procédure de sanction, elle n’aurait adressé qu’un avertissement à l’établissement fautif. Cet avertissement n’a d’ailleurs pas été rendu public, ce qui ne permet pas de connaître l’identité du groupe bancaire ou d’assurance en tort.

(1) Fichier des incidents de crédit et de paiement (FICP) et Fichier central des chèques et des retraits de cartes bancaires (FCC).