Le Crédit Mutuel est pris en défaut de sécurité informatique

le 05/07/2012 L'AGEFI Quotidien / Edition de 7H

La Cnil sanctionne la «légèreté impardonnable» du groupe, dont tous les salariés ont eu accès à des données clients confidentielles pendant deux ans

Pour un groupe qui a assis sa puissance sur la qualité de son informatique, le dossier fait mauvais effet. La Cnil a infligé le 21 juin un avertissement à la filiale informatique du Crédit Mutuel CIC, Euro Information, pour «défaut de sécurité de données confidentielles», selon un communiqué paru le 2 juillet sur son site internet. La Commission nationale de l’informatique et des libertés avait été alertée par un article du Canard Enchaîné le 28 décembre 2011, qui avait révélé la faille.

Tout est parti de l’intégration, au sein des systèmes du Crédit Mutuel, des filiales de presse rachetées par le groupe (Le Républicain Lorrain, etc.). Tous les salariés partagent désormais la même messagerie interne Outlook. Celle-ci contient une fonctionnalité «dossiers publics» permettant à des équipes de partager des informations. Parmi les sujets traités, la création de listes de clients avec leurs coordonnées, des échanges de courriels dans le cadre de réunions à la Fédération bancaire française, ou encore des ordres d’achat et de vente.

Or, tous les salariés disposaient de droits sur ces dossiers publics, «faute de restriction d’accès spécifiquement mise en œuvre par leurs propriétaires», relève la Cnil dans sa délibération. «Pendant près de deux ans, de nombreux documents et données confidentiels sont demeurés accessibles à l’ensemble des salariés du groupe, quelle que soit la nature de leur activité (journalistique ou bancaire), soit 84.895 personnes au jour du contrôle», effectué le 29 décembre. Le CM-CIC – dont le périmètre exclut Arkéa – a pris des mesures correctrices dans la nuit dès qu’il a pris connaissance de l'article du Canard Enchaîné.

La Cnil n’a pas retenu la ligne de défense de la banque. Celle-ci soutenait notamment que seule une démarche active et complexe permettait de trouver la faille. «Ce serait par malveillance et en faisant preuve de déloyauté et de mauvaise foi que des salariés auraient accédé aux données», puis les auraient divulguées au Canard Enchaîné.

Devenu l’un des plus grands groupes de presse de France par la volonté de son président Michel Lucas, le Crédit Mutuel aurait donc été victime du mauvais esprit des journalistes. La Cnil, elle, a considéré que «la société s’est comportée avec une légèreté impardonnable» en faisant partager le même outil à ses banquiers et à ses journalistes sans assurer l’étanchéité des deux systèmes.

A lire aussi