Défaut de sécurité de données confidentielles : avertissement pour la filiale EURO INFORMATION du CREDIT MUTUEL-CIC

Le 28 décembre 2011, la presse révélait que des journalistes du groupe CREDIT MUTUEL – CIC avaient eu accès, depuis leurs postes informatiques, à des informations concernant des milliers de clients des banques du même groupe (renseignements confidentiels, relevés d'identité bancaire, contrats d'assurance, courriels privés, conseils fiscaux, transactions ou achats de titres…). Dès le lendemain, la CNIL a procédé à un contrôle auprès de la société EURO INFORMATION, filiale du groupe CREDIT MUTUEL – CIC. Celle-ci est chargée de gérer le système d'information du groupe CREDIT MUTUEL – CIC et notamment la messagerie de tout son personnel, banques et organes de presse confondus, dont le nombre total s'élève à près de 85 000 personnes, Ce contrôle a permis d'établir que tous les salariés du groupe disposaient d'une messagerie mutualisée et figuraient dans le même annuaire, y compris les salariés des sociétés de presse. Les données confidentielles étaient contenues dans des "dossiers publics" de la messagerie du personnel qui étaient, par défaut, accessibles à tous les salariés figurant dans l'annuaire. Les vérifications effectuées par la CNIL ont mis en évidence que plus d'1,2 millions de documents couverts par le secret bancaire étaient ainsi potentiellement accessibles aux salariés du groupe. L'accès litigieux a été suspendu avant même la parution de l'article. La formation contentieuse de la CNIL a estimé que le défaut de sécurisation de ces données hautement sensibles était "imputable à la seule déficience de la société dans la configuration des dossiers publics de la messagerie". Elle précise que la situation litigieuse résulte du choix délibéré de mutualiser la messagerie de salariés appartenant à des branches d'activité professionnelle distinctes (presse et banque), qui ne doivent pas avoir accès aux mêmes informations. À ce titre, elle a considéré que la société EURO INFORMATION avait manqué à son obligation de garantir la sécurité et la confidentialité des données traitées, en violation de l'article 34 de la loi Informatique et Libertés. Elle a ainsi décidé de lui adresser un avertissement.