Après les fuites bancaires, la Cnil lance un avertissement au Crédit Mutuel

Dans un communiqué publié aujourd’hui, la Commission nationale informatique et liberté (Cnil) révèle les conclusions de son enquête, diligentée à la suite des révélations du Canard Enchaîné du 28 décembre 2011. Selon l’hebdomadaire palmipède, les journalistes des quotidiens appartenant au Crédit Mutuel (dont L’Alsace et les DNA)  avaient accès à des informations financières des clients du groupe bancaire, dont « actions, comptes en Suisse et projets d’optimisation fiscale, formulaires nominatifs visés par l’administration fiscale », ou encore « une liste de 400 clients ayant acheté de l’or »…

Dès le lendemain, la Cnil se présente au siège d’Euro-Information, la filiale informatique du Crédit Mutuel, au Wacken à Strasbourg. Toc toc, c’est pour un contrôle. Les enquêteurs de la Cnil comprennent vite que des dossiers de messagerie Outlook (le logiciel de Microsoft pour lire les emails) n’avaient pas les bonnes restrictions d’accès. Et pour cause, ils étaient disponibles à tous les utilisateurs du réseau d’Euro-Information, soit 85 000 personnes ! Selon la Cnil, plus d’1,2 millions de documents couverts par le secret bancaire étaient ainsi accessibles aux salariés du groupe. Le Crédit Mutuel s’est rendu compte de l’erreur puisque l’accès à ces dossiers a été verrouillé avant la parution de l’article du Canard Enchaîné.

Il faudra néanmoins six mois à la Cnil pour aboutir à cette sanction : un avertissement à Euro-Information pour ne pas avoir garanti la confidentialité des données. Selon la Cnil, « le défaut de sécurisation de ces données hautement sensibles est imputable à la seule déficience de la société dans la configuration des dossiers publics de la messagerie ».

Précision intéressante, la Cnil note que cette erreur survient après avoir choisi de « mutualiser la messagerie de salariés appartenant à des branches d’activité professionnelle distinctes (presse et banque), qui ne doivent pas avoir accès aux mêmes informations ». C’est évident, et les syndicats de journalistes s’en sont émus lorsque le Crédit Mutuel s’est emparé des 13 titres qui composent aujourd’hui le groupe. Pour la Cnil, l’avertissement public était la sanction disponible la plus sévère :

« Nous avons tout un panel de sanctions, qui vont de l’avertissement aux amendes pécunières. Mais pour ces dernières, une mise en demeure préalable doit être notifié à la société, et il faut constater que l’infraction perdure. Or dans le cas du Crédit Mutuel, la faille avait déjà été corrigée. Il ne restait donc que l’avertissement public comme sanction. Il s’agit surtout de faire un exemple, pour que les autres entreprises se gardent de mutualiser des accès à une messagerie à des entreprises différentes. »

Lors d’une entrevue avec des salariés du Progrès, autre titre du groupe, Michel Lucas, PDG du Crédit Mutuel, avait pourtant indiqué : « La mutualisation, ça me connaît ». Certes, quand il s’agit de mutualiser les journalistes, Michel Lucas sait faire : il s’apprête à diffuser les mêmes informations nationales dans tous ses titres… Mais ces journalistes seront dans les locaux du CIC, une banque… du Crédit Mutuel. La Cnil s’intéresse-t-elle aux conversations près de la machine à café ?

Lire la délibération n°2012-176 de la Cnil