Fuite de données : l’URSSAF diffuse des dizaines d’échéanciers aux mauvais destinataires

Le 1er mai, 7 400 travailleurs indépendants ont eu la surprise de recevoir dans leur espace URSSAF des échéanciers de cotisations 2022 qui ne les concernaient pas directement. Parmi les données exposées, des coordonnées bancaires, des noms et adresses complets et des détails de revenus. La CNIL est alertée.

Le 1er mai 2023, les travailleurs indépendants qui avaient déjà réalisé leur déclaration de revenus ont reçu leur échéancier de régularisation de cotisations. Pour ceux qui l’avaient terminée avant le 27 avril, surprise : le document que l’URSSAF leur intime de télécharger contient plus que leur seul échéancier de régularisation des cotisations 2022 et d’appel des cotisations 2023.

« Au début, je n’ai pas compris, j’ai ouvert le document et je suis tombé sur les informations d’un agent d’assurance, d’un psychologue, d’une professeure de yoga, raconte @MeCarotte. J’ai même trouvé les informations d’un concurrent, avocat au barreau d’à côté. » Après avoir fouillé le document, il trouve les informations qui le concernent. 

Comme pour la plupart des personnes que nous avons interrogées, celles-ci se trouvaient quasiment à la fin du dossier. Le reste du PDF ? Exactement la même lettre que celle qui lui est destinée, à ceci près qu’elle contient les informations professionnelles d’une dizaine d’autres travailleurs indépendants de sa région. 

L'@urssaf m'envoie mon échéancier de cotisations 2023. L'échéancier d'une 50aine d'autres personnes est joint au mien (185 pages !). Avec leurs identités, adresses, revenus, coordonnées bancaires !! Bravo @Urssaf_IDF ! cc @CNIL @nextinpact @zataz pic.twitter.com/9LoPNMb4Hv

— Net-Actuality (@net_actuality) May 1, 2023

Derrière le site Net-Actuality.org, Florian Bruffaert s’est de son côté retrouvé à télécharger 185 pages de documents, alors qu’il cherchait à accéder à son propre appel de cotisation. Au total, ce sont les données de quarante-huit personnes qui lui ont ainsi indument été communiquées.

D’après des témoignages retrouvés sur Twitter, il est probable que certaines personnes aient eu accès à un nombre encore plus important de données personnelles ne les concernant pas.

7 400 personnes concernées, selon l’URSSAF

Qu’ils habitent en Bretagne, en Île-de-France, dans le Nord-Pas-de-Calais ou encore en Champagne-Ardennes, des travailleurs indépendants de plusieurs régions de France ont rempli leurs déclarations de revenus assez tôt. Chaque année, leur statut implique qu’après ces déclarations, l’URSSAF vérifie les cotisations déjà versées l’année précédente et procède à des régularisations et des appels à cotisations pour l’année en cours.

Ce 1er mai, cela dit, plusieurs se sont inquiétés en ligne de découvrir, en plus des documents les concernant, des jeux d’informations fiscales appartenant à des complets étrangers. Dans les deux jeux de ce type que Next INpact a pu consulter, les récipiendaires se retrouvent avec l’accès au nom, à l’intitulé de l’activité indépendante et à l’adresse d’autres indépendants affiliées à l’URSSAF de leur région.

Classiquement inscrits en en-tête de ce type de communication, les numéros de SIRET et de comptes ont aussi été diffusés. Dans le corps du courrier, signé des directeurs régionaux d’URSSAF, les coordonnées bancaires complètes sont rappelées.

Dans les pages suivantes, c’est le détail des cotisations prévisionnelles de 2023, celui des revenus de l’année 2022 pris en compte pour le calcul (revenus professionnels non salariés et cotisations sociales personnelles obligatoires) et celui de la régularisation 2022 qui ont été rendus publics à des personnes qui n’auraient pas dû en être destinataires.

Selon un communiqué que l’URSSAF nous a adressé à 13h31 ce 2 mai 2023, « les informations de travailleurs indépendants ayant réalisé leur déclaration de revenus avant le 27 avril ont été affichées sur le compte en ligne de 7 400 travailleurs indépendants (artisans, commerçants et professions libérales) ». Le Monde précise que 29 000 personnes se sont retrouvées avec ce type de documents sur leurs espaces, mais que 22 000 ne les avaient pas encore téléchargés lorsque la fuite a été identifiée.

La CNIL alertée

L’entité indique par ailleurs avoir « immédiatement pris des mesures » pour rétablir la situation, en supprimant les documents en question des espaces personnels concernés. Cette remise en ordre semble se faire par étapes, dans la mesure où seulement certains des indépendants avec qui nous avons pu échanger nous ont confirmé la disparition des documents de leur espace.

Par mail, le développeur Nadim Kobeissi, qui avait, lui aussi, alerté l'URSSAF ce 1er mai, nous a indiqué de son côté pouvoir toujours télécharger un PDF contenant les informations fiscales de 43 étrangers depuis son espace URSSAF deux heures après réception de la réponse de l’organisme.

Quoi qu'il en soit, si les documents contenant les informations sensibles d’autres indépendants ont été téléchargés avant qu’ils n’aient disparu des espaces personnels, le mal est fait : les informations en question sont dans la nature.

Plusieurs personnes nous ont expliqué avoir signalé la fuite de données à la CNIL entre hier 1er mai et aujourd’hui 2 mai. Conformément à l’article 34 du RGPD, l’URSSAF indique par ailleurs avoir, elle aussi, notifié la Commission nationale de l’informatique et des libertés.

L’entité présente « toutes ses excuses » aux usagers concernés et « invite à contacter le 3698 » en cas de besoin d’informations complémentaires. Elle conseille par ailleurs aux potentielles victimes de rester vigilantes à d’éventuelles activités bancaires suspectes.