Assurance de prêt immobilier : quand les données personnelles fuitent sur le web

Un couple âgé et un ordinateur
© zinkevych - Fotolia.com

Dans son bilan annuel, publié hier, la Cnil cite un cas de « diffusion massive d’informations sensibles » liées au crédit immobilier et à l’assurance emprunteur. Sans toutefois nommer l’établissement concerné, et en précisant que la fuite de données en ligne a rapidement été corrigée.

En 2016, la Cnil a reçu 7.703 plaintes, en légère diminution par rapport à 2015 (7.908 plaintes). Parmi elles : 33% concernaient la diffusion de données personnelles sur internet, et 9% la banque ou le crédit. Dans la catégorie bancaire, comme souvent, c’est l’absence de retrait des fichiers FICP et FCC (1) qui constitue le principal motif de plainte.

Dans son rapport annuel, la Cnil détaille quelques « histoires vécues ». Parmi elles : la « fuite de données en ligne » de « M. et Mme Dumont ». Ce couple d’emprunteurs a en effet contracté un prêt immobilier, et une assurance emprunteur, pour un projet de chambre d’hôte.

Des données médicales en ligne par erreur

En cherchant à promouvoir leur business sur le web, Mme Dumont « découvre, en tapant ses nom et prénom sur les moteurs de recherche, que des données personnelles relatives à sa demande de prêt ainsi que celles de son mari apparaissent dans la liste des résultats », raconte la Cnil : adresse, date de naissance, « nombre et montants de ses prêts immobiliers ». Mais aussi des données médicales liées à l’assurance emprunteur : « son poids, sa taille et des informations d’ordre médicales ». Le couple, « catastrophé », saisit la Cnil.

La commission de l’informatique et des libertés contrôle alors « les locaux de la société concernée », qu’elle ne cite pas dans ce rapport annuel. La Cnil comprend alors que Mme et M. Dumont ne sont pas forcément les seuls concernés par cette fuite de données, puisque celle-ci était liée à « une erreur de paramétrage d’un serveur ». La Cnil enjoint cette société de rectifier « immédiatement » ce paramétrage pour lettre fin à « cette diffusion massive d’informations sensibles ». Puis la commission demande un déréférencement aux moteurs de recherche. Résultat : « les donnés du couple Dumont et des autres plaignants ne sont rapidement plus en ligne ».

Un avertissement pour l’établissement fautif

Dans son rapport la Cnil souligne la « gravité des faits constatés ». Cependant, après avoir initié une procédure de sanction, elle n’aurait adressé qu’un avertissement à l’établissement fautif. Cet avertissement n’a d’ailleurs pas été rendu public, ce qui ne permet pas de connaître l’identité du groupe bancaire ou d’assurance en tort.

(1) Fichier des incidents de crédit et de paiement (FICP) et Fichier central des chèques et des retraits de cartes bancaires (FCC).

Partager cet article :

© cbanque.com / BL / Mars 2017

Commentaires

Publié le 2 avril 2017 à 11h10 - #1ricou7422
  • Homme
  • 58290
  • 63 ans

Et comme d'habitude la CNIL ne sanctionne la banque fautive, mets sous silence son nom, lui permettant de prospérer jusqu'à la nouvelle faute, à l'endroit de futurs ou autres clients, le tout au détriment des consommateurs.
La CNIl est comme toutes ces instances soit disant chargées de contrôler et défendre les intérêts et droits des usagers ( DGCCRF, HADOPI, BDF, gendarme boursier etc) brassent beaucoup d'air pour rien; Ils sont plus prompt à défendre leurs confortables salaires, avantages etc... ainsi que les intérêts de la Camora financière et bancaires qui ont de beaux jours devant eux que les droits des usagers.

Trouvez-vous ce commentaire utile ?