Connexion
Abonnez-vous

Fuite de données : l’URSSAF diffuse des dizaines d’échéanciers aux mauvais destinataires

sécurité (trop) sociale

Fuite de données : l’URSSAF diffuse des dizaines d’échéanciers aux mauvais destinataires

Le 02 mai 2023 à 14h46

Le 1er mai, 7 400 travailleurs indépendants ont eu la surprise de recevoir dans leur espace URSSAF des échéanciers de cotisations 2022 qui ne les concernaient pas directement. Parmi les données exposées, des coordonnées bancaires, des noms et adresses complets et des détails de revenus. La CNIL est alertée.

Le 1er mai 2023, les travailleurs indépendants qui avaient déjà réalisé leur déclaration de revenus ont reçu leur échéancier de régularisation de cotisations. Pour ceux qui l’avaient terminée avant le 27 avril, surprise : le document que l’URSSAF leur intime de télécharger contient plus que leur seul échéancier de régularisation des cotisations 2022 et d’appel des cotisations 2023.

« Au début, je n’ai pas compris, j’ai ouvert le document et je suis tombé sur les informations d’un agent d’assurance, d’un psychologue, d’une professeure de yoga, raconte @MeCarotte. J’ai même trouvé les informations d’un concurrent, avocat au barreau d’à côté. » Après avoir fouillé le document, il trouve les informations qui le concernent. 

Comme pour la plupart des personnes que nous avons interrogées, celles-ci se trouvaient quasiment à la fin du dossier. Le reste du PDF ? Exactement la même lettre que celle qui lui est destinée, à ceci près qu’elle contient les informations professionnelles d’une dizaine d’autres travailleurs indépendants de sa région. 

Derrière le site Net-Actuality.org, Florian Bruffaert s’est de son côté retrouvé à télécharger 185 pages de documents, alors qu’il cherchait à accéder à son propre appel de cotisation. Au total, ce sont les données de quarante-huit personnes qui lui ont ainsi indument été communiquées.

D’après des témoignages retrouvés sur Twitter, il est probable que certaines personnes aient eu accès à un nombre encore plus important de données personnelles ne les concernant pas.

7 400 personnes concernées, selon l’URSSAF

Qu’ils habitent en Bretagne, en Île-de-France, dans le Nord-Pas-de-Calais ou encore en Champagne-Ardennes, des travailleurs indépendants de plusieurs régions de France ont rempli leurs déclarations de revenus assez tôt. Chaque année, leur statut implique qu’après ces déclarations, l’URSSAF vérifie les cotisations déjà versées l’année précédente et procède à des régularisations et des appels à cotisations pour l’année en cours.

Ce 1er mai, cela dit, plusieurs se sont inquiétés en ligne de découvrir, en plus des documents les concernant, des jeux d’informations fiscales appartenant à des complets étrangers. Dans les deux jeux de ce type que Next INpact a pu consulter, les récipiendaires se retrouvent avec l’accès au nom, à l’intitulé de l’activité indépendante et à l’adresse d’autres indépendants affiliées à l’URSSAF de leur région.

Bug URSSAFBug URSSAF

Classiquement inscrits en en-tête de ce type de communication, les numéros de SIRET et de comptes ont aussi été diffusés. Dans le corps du courrier, signé des directeurs régionaux d’URSSAF, les coordonnées bancaires complètes sont rappelées.

Dans les pages suivantes, c’est le détail des cotisations prévisionnelles de 2023, celui des revenus de l’année 2022 pris en compte pour le calcul (revenus professionnels non salariés et cotisations sociales personnelles obligatoires) et celui de la régularisation 2022 qui ont été rendus publics à des personnes qui n’auraient pas dû en être destinataires.

Selon un communiqué que l’URSSAF nous a adressé à 13h31 ce 2 mai 2023, « les informations de travailleurs indépendants ayant réalisé leur déclaration de revenus avant le 27 avril ont été affichées sur le compte en ligne de 7 400 travailleurs indépendants (artisans, commerçants et professions libérales) ». Le Monde précise que 29 000 personnes se sont retrouvées avec ce type de documents sur leurs espaces, mais que 22 000 ne les avaient pas encore téléchargés lorsque la fuite a été identifiée.

La CNIL alertée

L’entité indique par ailleurs avoir « immédiatement pris des mesures » pour rétablir la situation, en supprimant les documents en question des espaces personnels concernés. Cette remise en ordre semble se faire par étapes, dans la mesure où seulement certains des indépendants avec qui nous avons pu échanger nous ont confirmé la disparition des documents de leur espace.

Par mail, le développeur Nadim Kobeissi, qui avait, lui aussi, alerté l'URSSAF ce 1er mai, nous a indiqué de son côté pouvoir toujours télécharger un PDF contenant les informations fiscales de 43 étrangers depuis son espace URSSAF deux heures après réception de la réponse de l’organisme.

Quoi qu'il en soit, si les documents contenant les informations sensibles d’autres indépendants ont été téléchargés avant qu’ils n’aient disparu des espaces personnels, le mal est fait : les informations en question sont dans la nature.

Plusieurs personnes nous ont expliqué avoir signalé la fuite de données à la CNIL entre hier 1er mai et aujourd’hui 2 mai. Conformément à l’article 34 du RGPD, l’URSSAF indique par ailleurs avoir, elle aussi, notifié la Commission nationale de l’informatique et des libertés.

L’entité présente « toutes ses excuses » aux usagers concernés et « invite à contacter le 3698 » en cas de besoin d’informations complémentaires. Elle conseille par ailleurs aux potentielles victimes de rester vigilantes à d’éventuelles activités bancaires suspectes.

Commentaires (15)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

ouille

votre avatar

Impatient de voir ce que va donner l’obligation de mettre toutes ses factures sur un portail centralisé (ou sur une plateforme de dématérialisation partenaire)… What could possibly go wrong?

votre avatar

Je dirais même plus : « what cloud possibly go wrong? »

votre avatar

Ah c’est donc ça l’open data? Bientôt la publication de ces documents dans l’Annuaire des Entreprises ? :pastaper:

votre avatar

Excellent sous titre. :mdr:

votre avatar

Vive la souveraineté numérique :pastaper:

votre avatar

Catastrophe…

votre avatar

Il faudrait vraiment se pencher sur le fonctionnement des URSSAF.
Quand je vois le pognon de dingue que je leur donne au vu des services rendus… Il ne doit pas y avoir que des fuites de données :cartonrouge:

votre avatar

(reply:2131601:gg40) L’URSS-AF est une arnaque


votre avatar

gg40 a dit:


Il faudrait vraiment se pencher sur le fonctionnement des URSSAF. Quand je vois le pognon de dingue que je leur donne au vu des services rendus… Il ne doit pas y avoir que des fuites de données :cartonrouge:


L’URSSAF collecte et redistribue selon les lois des gouvernements, leur coût de traitement est très faible. Le reste est lié au fonctionnement du système social du pays. :windu:



(Après je préfère le système social d’ici de beaucoup de nos voisins)

votre avatar

kd9 a dit:


(Après je préfère le système social d’ici de beaucoup de nos voisins)


Oui, je suis d’accord. Moi aussi j’aime notre modèle social.
Je pensais aux multiples scandales dans lesquelles certaines URSSAF sont impliquées, voyage en jet, dîner somptueux etc…
Et aussi quand le regarde regarde mes 7 jours de carences en cas d’arrêt maladie et mes 7 - 8 € d’indemnités journalières forfaitaire etc…



Bref, je râle comme tout bon Français :D

votre avatar

finalement Twitter c’est pas si mal pour informer rapidement, même depuis sa privatisation avec une personne que beaucoup ont un ressentiment non justifié à son égard

votre avatar

gg40 a dit:


Oui, je suis d’accord. Moi aussi j’aime notre modèle social. Je pensais aux multiples scandales dans lesquelles certaines URSSAF sont impliquées, voyage en jet, dîner somptueux etc… Et aussi quand le regarde regarde mes 7 jours de carences en cas d’arrêt maladie et mes 7 - 8 € d’indemnités journalières forfaitaire etc…


c’est passé à 3 jours de carence.

votre avatar

Merci pour la précision :)
Je suis indep depuis 16ans et j’ai jamais eu d’arrêt maladie… Je croise les doigts

votre avatar

après pour être honnête avec 7 jours de carence, tu vas pas te foutre en arrêt si tu sais que ca va durer qu’une semaine. tu restes à la maison en faisant rien ou pas grand chose
la résultante c’est que tu fais quand même 0 € de CA (ou tu enfumes un client)

Fuite de données : l’URSSAF diffuse des dizaines d’échéanciers aux mauvais destinataires

  • 7 400 personnes concernées, selon l’URSSAF

  • La CNIL alertée

Fermer