Reconnu responsable d'un défaut de sécurité sur des données couvertes par le secret bancaire, le Crédit Mutuel-CIC s’est vu adresser un avertissement public de la part de Commission nationale Informatique et Libertés (CNIL).
L’affaire avait été révélé le 28 décembre 2011 par le Canard Enchaîné : des journalistes du quotidien Le Républicain Lorrain, propriété du groupe CM11-CIC, avaient pu avoir accès, via un système informatique commun, à des données internes à la banque. Dès le lendemain, la Cnil avait ouvert une enquête, diligentant des contrôles au siège du Républicain Lorrain, à Woippy près de Metz, et au siège strasbourgeois d’Euro-Information, filiale informatique du Crédit Mutuel.
1,2 million de documents sous secret bancaire
Au terme de cette enquête, la Cnil a décidé, dans une délibération du 21 juin dernier, d’adresser un avertissement public à Euro-Information, qui a « manqué à son obligation de garantir la sécurité et la confidentialité des données traitées. » Selon la commission, le contrôle a permis de mettre en évidence « que près de 85.000 salariés du groupe auquel appartiennent des sociétés de presse, pouvaient avoir accès à des documents et à des courriels confidentiels de nature bancaire. »
Toujours selon la CNIL, ces documents couverts par le secret bancaire, au nombre de 1,2 million, étaient stockées dans des « dossiers publics » de la messagerie du personnel qui étaient, par défaut, accessibles à tous les salariés du groupe. Tout en notant que la faille de sécurité avait été comblée « avant même la parution de l’article » du Canard Enchaîné, la Cnil a critiqué le choix du Crédit Mutuel de « mutualiser la messagerie de salariés appartenant à des branches d’activité professionnelle distinctes (presse et banque), qui ne doivent pas avoir accès aux mêmes informations. »
