Le Crédit Mutuel-CIC averti par la Cnil pour sa mégafaille de sécurité

La Cnil a considéré que la société Euro Information (filiale informatique du groupe Crédit mutuel-CIC) avait manqué à son obligation de garantir la sécurité et la confidentialité des données traitées et a, en conséquence, décidé de lui adresser un avertissement. La décision, rendue publique sur son site, s'appuie sur la mise en évidence, suite à un contrôle de la Commission, que plus de 1,2 million de documents couverts par le secret bancaire étaient ainsi potentiellement accessibles aux salariés du groupe.

Une situation qui aurait pu être évitée

L'affaire avait été révélée le 28 décembre 2011 par la presse. Des journalistes du groupe Crédit mutuel–CIC avaient eu accès, depuis leurs postes informatiques, à des informations concernant des milliers de clients des banques du même groupe (renseignements confidentiels, relevés d'identité bancaire, contrats d'assurance, courriels privés, conseils fiscaux, transactions ou achats de titres…).

La formation contentieuse de la Cnil a estimé que le défaut de sécurisation de ces données hautement sensibles était « imputable à la seule déficience de la société dans la configuration des dossiers publics de la messagerie ». Elle précise que la situation litigieuse résulte du choix délibéré de mutualiser la messagerie de salariés appartenant à des branches d'activité professionnelle distinctes (presse et banques), qui ne doivent pas avoir accès aux mêmes informations.