29 000 personnes se sont retrouvées avec des documents ne les concernant pas sur leurs espaces personnels, mais seulement 7 400 les ont téléchargées avant que la fuite ne soit identifiée et les informations, supprimées.
Le 1er mai, 7 400 travailleurs indépendants ont eu la surprise de recevoir dans leur espace URSSAF des échéanciers de cotisations 2022 qui ne les concernaient pas directement. Parmi les données exposées, des coordonnées bancaires, des noms et adresses complets et des détails de revenus. La CNIL est alertée.
Le 1er mai 2023, les travailleurs indépendants qui avaient déjà réalisé leur déclaration de revenus ont reçu leur échéancier de régularisation de cotisations. Pour ceux qui l’avaient terminée avant le 27 avril, surprise : le document que l’URSSAF leur intime de télécharger contient plus que leur seul échéancier de régularisation des cotisations 2022 et d’appel des cotisations 2023.
« Au début, je n’ai pas compris, j’ai ouvert le document et je suis tombé sur les informations d’un agent d’assurance, d’un psychologue, d’une professeure de yoga, raconte @MeCarotte. J’ai même trouvé les informations d’un concurrent, avocat au barreau d’à côté. » Après avoir fouillé le document, il trouve les informations qui le concernent.
Comme pour la plupart des personnes que nous avons interrogées, celles-ci se trouvaient quasiment à la fin du dossier. Le reste du PDF ? Exactement la même lettre que celle qui lui est destinée, à ceci près qu’elle contient les informations professionnelles d’une dizaine d’autres travailleurs indépendants de sa région.
L'@urssaf m'envoie mon échéancier de cotisations 2023. L'échéancier d'une 50aine d'autres personnes est joint au mien (185 pages !). Avec leurs identités, adresses, revenus, coordonnées bancaires !! Bravo @Urssaf_IDF ! cc @CNIL @nextinpact @zataz pic.twitter.com/9LoPNMb4Hv
— Net-Actuality (@net_actuality) May 1, 2023
Derrière le site Net-Actuality.org, Florian Bruffaert s’est de son côté retrouvé à télécharger 185 pages de documents, alors qu’il cherchait à accéder à son propre appel de cotisation. Au total, ce sont les données de quarante-huit personnes qui lui ont ainsi indument été communiquées.
D’après des témoignages retrouvés sur Twitter, il est probable que certaines personnes aient eu accès à un nombre encore plus important de données personnelles ne les concernant pas.
