Le « Crédit Mutuel » a obtenu la mention zéro en matière de réputation de sécurité des données personnelles le 28 décembre 2011 via le « Canard Enchaîné ».
En effet, une défaillance conséquente du réseau informatique aurait permis aux journalistes un accès libre aux données personnelles des clients. La Commission Informatique et Libertés (CNIL) intervient alors. Le carton rouge pend au nez du « Crédit Mutuel »…
Le système de sécurisation du groupe « Crédit Mutuel » battrait visiblement de l’aile.
La sonnette d’alarme a été tirée par le « Canard Enchaîné », plus satirique que jamais. Son article à la phrase phare “[une] stupéfiante avalanche de données normalement secrètes et internes au Crédit mutuel-CIC est librement accessible à partir des ordinateurs des journalistes du groupe de presse contrôlé par la banque” a mis le feu aux poudres à la CNIL, qui a bel et bien pris la dénonciation au sérieux et s’est penchée dès le lendemain sur le problème.
Des indices laissent supputer que la CNIL aurait traîné la patte : ce n’est pas comme si cela faisait un an que les syndicats avaient mis le doigt sur le problème, en posant même des questions officielles…
Il convient de retracer les faits.
Les entreprises du groupe « Le Crédit Mutuel » auraient collaboré avec des entreprises de presse récemment rachetées, dans le dessein d’élaborer un réseau informatique commun.
Sauf qu’une faille béante se serait rajoutée optionnellement à ce projet, offrant de soit la possibilité aux membres de la rédaction d’accéder de façon libre aux données très personnelles des clients. Zoom sur cette notion : un logiciel aurait mis en porte-à-faux les partages d’accès les rendant de ce fait beaucoup trop « étanches », à cela se seraient cumulés des raccourcis de l’intranet mal configurés. En conséquence, des e-mails auraient été envoyés par inadvertance aux journalistes du Progrès de Lyon, des Dernières nouvelles d’Alsace, Bien Public, Dauphiné Libéré, ou notamment du Républicain Lorrain, sur lesquels il était parfois loisible de trouver les numéros de compte des clients du groupe en question… Une porosité entre les deux entités on ne peut plus significative.
Un paradoxe s’impose inéluctablement à l’esprit de chacun : des rumeurs feraient-elles intervenir une autorité aussi importante que la CNIL ? Il n’y a pas de fumée sans feu, dit-on, et l’excuse boiteuse d’un porte-parole de la CNIL : « Ces contrôles sont une procédure courante », ajoutée aux témoignages de journalistes de différents quotidiens – recueillis par l’AFP, qui invoquent des « erreurs d’aiguillage dans la réception des mails » – ne font que laisser dubitatif.
Une autre piste de réflexion tout aussi scandaleuse doit être pointée du doigt : si les informations bancaires pouvaient être aisément lues par les journalistes, comment le doute ne pourrait-il pas planer en ce qui concerne les banquiers ? Évoquer cette possibilité ne serait pas irrationnel. En outre, là où il semble inévitable que le Crédit Mutuel se soit fait hara-kiri, c’est lorsqu’il a court-circuité l’information litigieuse en la censurant dans ses propres journaux. Une banque bienséante n’aurait certainement pas adopté cette solution. Certes, ce n’est certainement pas une flatterie d’être soupçonné d’ « espionner » les données de ses clients alors qu’un banquier est censé en assurer la protection formelle ; mais cette « censure » est un coup d’épée dans l’eau. En effet, au XXI ème siècle, il ne suffit pas de couper une voie de communication pour prétendre étouffer une affaire, et le peu de temps où la brève est restée sur le site Internet du Progrès, par exemple, a probablement suffi à propager le sujet-tabou en le diffusant largement sur le Net. Qui plus est, certains sites Internet de journaux, comme celui du Journal de Saône-et-Loire et du Bien Public, sont passés outre l’interdiction, assurant une indéniable diffusion en ligne …
Il y a donc fort à parier que l’intervention de la CNIL n’est pas un hasard, mais bien une quête de confirmation des propos du « Canard Enchaîné ».
Si toutefois les faits étaient reconnus par la CNIL comme étant authentiques, ils tomberaient directement sous le joug de la Loi Informatique et Liberté qui prône et impose une obligation de sécurisation des données personnelles. Un lourd carton rouge serait alors infligé au « Crédit Mutuel »… Une défaillance au niveau de la sécurité de données personnelles est qualifiée d’infraction à la Loi informatique et Liberté, et demeure assortie d’une peine de 300 000 euros d’amende et d’une peine de 5 ans d’emprisonnement.
La CNIL a annoncé le 2 janvier qu’elle avait fait un contrôle sur place, en vue d’élucider la rumeur pesante de la supposée faille. Ces contrôles se sont déclinés en deux temps : en premier lieu à Strasbourg, chez Euro-Information, qui regroupe les structures informatiques du groupe mutualiste, puis à Woippy au siège du Républicain lorrain, un quotidien qui appartient au « Crédit Mutuel ». Les contrôles ont été faits sous la direction de la Commission nationale de l’informatique et des libertés au siège strasbourgeois d’Euro-Information, qui est la filiale informatique du Crédit mutuel, ainsi qu’au siège du Républicain Lorrain à Woippy. Une dualité de choix se présentera à cette Commission : elle pourra décider soit de dénoncer ces faits au Parquet, soit d’opter pour une procédure de sanction. La CNIL avertit que : « [la procédure de sanction] se traduit par un avertissement à l’organisme incriminé et/ou une mise en demeure débouchant, en cas de non-respect des injonctions de cesser les manquements à la loi constatés, sur une sanction pécuniaire ou administrative ».
Ce comportement est tout à l’honneur de la CNIL qui veille au respect et à l’application de la loi. L’article 8 de la Charte des droits fondamentaux est éminent, prônant que la protection des données personnelles est un droit fondamental. La CNIL se présente comme étant son défenseur, et ne tolère strictement aucune entorse dans ce domaine.
Le résultat des analyses du contrôle de la CNIL est proche, et il se pourrait bien que la sanction offerte par la loi depuis 2004 sonne bientôt comme un glas, à l’encontre du Crédit Mutuel…
Sources :
Mise en ligne le 29 décembre 2011, consulté le 5 janvier 2012, URL : http://www.challenges.fr/media/20111229.AFP3099/donnees-bancaires-la-cnil-controle-le-republicain-lorrain-et-le-credit-mutuel.html
Mise en ligne le 29 décembre 2011, consulté le 5 janvier 2012, URL :
Mise en ligne le 29 décembre 2011, consulté le 5 janvier 2012, URL : http://www.lexpress.fr/actualites/1/economie/donnees-bancaires-la-cnil-controle-le-republicain-lorrain-et-le-credit-mutuel_1066461.html
Mise en ligne le 3 janvier 2012, consulté le 5 janvier 2012, URL : http://www.reseaux-telecoms.net/actualites/lire-scandale-du-credit-mutuel-la-cnil-controle-le-groupe-23640.html
Mise en ligne le 3 janvier 2012, consulté le 5 janvier 2012, URL : http://www.lemagit.fr/article/cnil-canard-enchaine/10181/1/la-cnil-controle-securite-des-donnees-personnelles-credit-mutuel-cic/
Mise en ligne le 3 janvier 2012, consulté le 5 janvier 2012, URL : http://pro.01net.com/editorial/551678/la-cnil-a-controle-la-securite-informatique-du-credit-mutuel-cic/
Mise en ligne le 5 janvier 2012, consulté le 5 janvier 2012, URL : http://www.snj.fr/spip.php?article4199
Mise en ligne en janvier 2012, consulté le 5 janvier 2012, URL : http://www.globalsecuritymag.fr/Defaut-de-securite-informatique-au,20120106,27753.html