Le système d’information du Crédit Mutuel-CIC est mis à mal

Un grain de sable vient d’entacher la réputation du système d’information du Crédit Mutuel-CIC, alors que la banque mutuelle se targue d’en faire un axe majeur de sa stratégie. Deux structures du groupe ont reçu hier la visite de deux délégations de la Cnil (Commission nationale de l’informatique et des libertés) à la suite des révélations du Canard Enchaîné mercredi. De sources concordantes, il s’agirait d’Euro-Information (qui regroupe les structures informatiques) et du Républicain Lorrain – quotidien appartenant au pôle presse du groupe mutualiste.

Selon l’hebdomadaire, les journalistes des nombreux titres détenus par la banque (entre autres les Dernières Nouvelles d’Alsace, le Progrès, le Bien Public, le Dauphiné Libéré) ont fortuitement eu accès aux données bancaires, documents dématérialisés et e-mails de milliers de clients du CM-CIC, ainsi qu’à la correspondance électronique des collaborateurs du groupe. Cause probable de ce «bug»: un réseau informatique commun et intégré. CM-CIC avance une autre interprétation: «Il s’agit juste d’un acte de malveillance», s’est borné à répondre un porte-parole, qui ne souhaite pas «interférer dans une procédure en cours», celle de la Cnil.

«L’article [du Canard Enchaîné] nous a alertés, a confirmé à L’Agefi Sophie Nerbonne, directrice adjointe des affaires juridiques de la Cnil. Nous avons lancé des investigations pour vérifier la teneur des éléments portés à notre connaissance.» Le travail des délégations consiste à vérifier la réalité des problèmes évoqués et, le cas échéant, si les mesures adéquates ont été prises pour y remédier. La commission peut alors entamer une procédure de mise en demeure, à l’issue de laquelle une sanction pécuniaire peut être infligée. Cette phase contentieuse peut toutefois être interrompue si des mesures ont été prises, si l’organisme contrôlé n’a pas fait preuve de mauvaise foi ou en cas d’absence de dommages aux victimes. Une issue positive qui intervient «dans plus de 95% des cas».

Restent les éventuelles conséquences en termes de réputation. En outre, cette affaire intervient en plein processus de révision de la directive européenne sur la protection des données personnelles; elle pourrait conduire à la généralisation de l’obligation de publicité des failles de sécurité à l’ensemble des responsables de traitement de l’information. Pour l’instant, cette obligation ne concerne que les acteurs de l’internet.