La Cnil a contrôlé la sécurité informatique du Crédit mutuel-CIC

Mis à jour le
La Cnil a contrôlé la sécurité informatique du Crédit mutuel-CIC
 

Une faille informatique aurait permis à des journalistes du groupe d'avoir accès à des données de clients de la banque. La Commission enquête et pourrait saisir le Parquet.

La Cnil a contrôlé la sécurité du système d'information du Crédit mutuel-CIC qui aurait été gravement prise en défaut, selon le Canard enchaîné daté du 28 décembre 2011. Dès le lendemain de cette divulgation, la Commision précise avoir effectué deux contrôles : l'un à Strasbourg, chez Euro-Information, qui regroupe les structures informatiques du groupe mutualiste, et l'autre à Woippy (Moselle) au siège du Républicain lorrain, quotidien appartenant aussi au groupe.

Le problème aurait pour origine une faille ayant permis à des journalistes salariés du groupe bancaire, lequel détient de nombreux titres de presse régionale (l'Est républicain, le Républicain lorrain, les Dernières Nouvelles d'Alsace, etc.), d'accéder à des données de clients de la banque, via le système informatique et des logiciels de communication qui se trouvent être communs à toutes les entreprises du Crédit mutuel-CIC.

Une faille potentiellement répréhensible

Ce défaut d'étanchéité informatique entre les deux univers (la banque et la presse) aurait rendu accessible, depuis les ordinateurs des journalistes du groupe, les échanges d'e-mails privés et les relevés d'identité bancaire de clients de cette banque mutualiste. Sans qu'aucun détail technique n'ait été divulgué, un logiciel (messagerie électronique, partage de fichiers ?), mal paramétré ou mal configuré, serait en cause. Ces partages d'accès n'auraient pas été restreints comme ils auraîent dû l'être.

Si elle était avérée, cette faille, corrigée depuis, reste passible de sanctions. Les experts de la Cnil analysent les éléments recueillis lors des deux contrôles effectués la semaine dernière afin de décider des suites judiciaires à leur donner. En effet, la loi Informatique et libertés impose que les organismes mettant en œuvre des fichiers garantissent la sécurité des données qui y sont traitées. Ces faits, s'ils sont prouvés, seraient d'autant plus surprenants compte tenu du caractère très sensible des données privées traitées par une banque.

La loi prévoit que la Commission peut décider de dénoncer ces faits au Parquet ou entamer une procédure de sanction. « Celle-ci se traduit par un avertissement à l'organisme incriminé et/ou une mise en demeure débouchant, en cas de non-respect des injonctions de cesser les manquements à la loi constatés, sur une sanction pécuniaire ou administrative », précise t-on à la Cnil.