C’est Radio France, au travers de sa cellule investigation, qui s’est penchée sur un jeu de données mis en ligne par un prestataire de la CAF. Ces données, contenues dans un fichier .zip, comprenaient des informations détaillées sur leur type de logement, leur situation personnelle, médicale, professionnelle et familiale, ainsi que le type et le montant de leurs allocations. Des informations structurées au travers de 181 variables différentes, mais sans aucun nom ou prénom ni mention de la ville de résidence.
Ce n’était qu’un exercice !
https://twitter.com/franceinfoplus/status/1610969425338933248
Ce fichier, apparemment anonyme aux yeux de la CAF Gironde, est transmis en mars 2021 à un prestataire de services parisien. Le but est de lui donner de la matière pour former ses équipes à des manipulations élémentaires : variables, tri de données, export/import… Des exercices pouvant être menés sur des données fictives, comme l’a cru d’ailleurs le responsable de l’entreprise lorsqu’il met en ligne ce jeu de données.
L’anonymat façon CAF
Comme nous l’avons vu, ce jeu de données ne contient ni le nom, ni le prénom, ni la mention de la ville de résidence de l’allocataire. Une précaution prise par la CAF pour protéger l’anonymat des usagers. Sauf que Radio France a réussi à identifier les profils pour les contacter, afin d’authentifier la base de données.
CAF : 10000 dossiers d'allocataires en accès libre. Au menu : situation familiale, professionnelle, personnelles… Contacté par la cellule d'investigation de @radiofrance, on revient sur la fuite : https://t.co/P4jjBQpib8
Annonce— La Quadrature du Net (@laquadrature) January 5, 2023
Car oui, supprimer un nom ou un prénom n’est pas suffisant pour rendre anonyme un jeu de données. Grâce à des méthodes simples (Pages Jaunes), en partant d’une adresse partielle (nom de rue, numéro de bâtiment et type de logement), il est possible de compléter les informations. Il semble donc que l’un des principaux acteurs sociaux du pays ait une méconnaissance totale du RGPD et des recommandations de la CNIL.
Quand la CAF donne une note à ses allocataires
La CAF n’en est pas à son coup d’essai en matière de respect des données privées. Début décembre 2022, Radio France publie une enquête sur l’algorithme de notation interne à l’organisme. Son but : utiliser les données d’un maximum d’administrations publiques afin de les croiser, pour établir des prédictions sur les risques de fraudes de tel ou tel allocataire. Une pratique dont la CAF ne se vante pas.
ENQUÊTE – Quand des algorithmes notent les allocataires de la Caf.
➡️ https://t.co/QparruDUJm pic.twitter.com/MgADWQhBS2
— France Inter (@franceinter) December 9, 2022
En attendant, concernant la polémique des 10 204 profils, la CNAF (Caisse Nationale des Allocations Familiales), le grand patron des CAF, a indiqué par son service presse que la faute revenait au prestataire qui n’aurait pas dû publier ces données. Oui, parce que le problème n’est pas que vos informations sensibles soient utilisées dans tous les sens par des agents. Le problème, c’est que vous soyez au courant.
