RMC a révélé mardi soir une « erreur de mailing chez Fortuneo ». Près de 200 clients ont reçu les données confidentielles d’autres clients. La banque en ligne a confirmé quelques heures plus tard cette « erreur humaine », tout en rectifiant plusieurs informations avancées par la radio.

Des adresses email, des identifiants de connexion à l’espace en ligne et des pièces administratives concernant 370 clients de Fortuneo ont été envoyés par e-mail par erreur à 187 clients jeudi 24 avril. La banque en ligne, filiale du Crédit Mutuel Arkéa, a confirmé une information de RMC, sans toutefois préciser si les 187 destinataires des e-mails en question font aussi partie des personnes dont les données personnelles ont été dévoilées.

A l’origine de l’incident, selon la radio, qui a publié l’information mardi soir vers 18h, « la création d’un groupe de 180 personnes mis en copie d’échanges privés » entre un conseiller et ses clients. Ces e-mails contenaient « l'Etat civil de la personne, le domicile, les identifiants de connexion, la capacité d'épargne… », affirme un client de Fortuneo cité par RMC. « Si ça tombe entre des mains mal intentionnées, vous imaginez tout ce qui peut se produire derrière. »

« Aucun mot de passe n’a été communiqué »

Fortuneo a réagi à cette révélation mardi en fin de soirée en diffusant une « information » via son compte Twitter.

Le document lié à ce tweet précise et rectifie les informations divulguées par la radio. Une « erreur humaine » est donc à l’origine de cet incident « survenu le jeudi 24 avril 2014 entre 16h30 et 17h » selon Fortuneo. Le problème a été « identifié, maîtrisé et clos dans les minutes qui ont suivi son apparition », insiste la filiale du Crédit Mutuel Arkéa. La banque a par ailleurs précisé que 187 clients – et non 180 comme avancé par RMC – ont reçu les e-mails en question mais, surtout, elle reconnaît que les clients victimes de diffusion de données personnelles sont bien plus nombreux : 370.

La banque tout en ligne tempère cependant dans ce document la gravité de cet incident. Elle y affirme qu’« aucun mot de passe n’a été communiqué », précisant par ailleurs : « L’identifiant seul ne permet pas de se connecter au compte d’un client. » « Aucune intrusion » n’aurait été rendue possible dans les comptes bancaires de ses clients suite à cet indicent selon Fortuneo, qui a tout de même bloqué les accès aux comptes concernés et réédité de nouveaux identifiants « par mesure de précaution ».

« Sincères excuses » de Fortuneo à ses clients

Les 370 clients victimes de cet « envoi involontaire d’e-mails » ont, toujours selon la banque en ligne, été contactés « dès le jeudi 24 ». Fortuneo s’engage à prendre en charge les frais de renouvellement des identifiants et des moyens de paiement, à un remboursement en cas de « préjudice matériel directement causé par cet incident » et à assurer une assistance juridique en cas d’utilisation frauduleuse des données personnelles.

Pourtant, selon la source citée par RMC, qui semble toutefois être destinataire des e-mails et non victime de la diffusion de ses propres données personnelles, les clients destinataires se seraient vus refuser un dédommagement pour préjudice moral.

Pascal Donnais, directeur général de la banque en ligne, s’est fendu d’un mea culpa dans l’information diffusée mardi soir : « (…) Cet incident est regrettable et Fortuneo en assume toutes les conséquences. Fortuneo a présenté ses sincères excuses aux 370 clients concernés (…). »

Mise à jour (6 mai, 9h40) - Contacté à l'occasion de la rédaction de cet article, le service communication de la banque en ligne est revenu vers nous cette semaine. Il a notamment précisé que Fortuneo s'engage bel et bien à un dédommagement en cas de préjudice matériel lié à une diffusion de données personnelles. La source citée par RMC n'a pour sa part pas évoqué un préjudice matériel mais un préjudice moral.