Cafpi : fuite de données personnelles

Messagepar **Jarodd** » 09 sept. 2023, 11:38

Bonjour,

J'ai ouvert un dossier chez le courtier Cafpi pour un prêt immobilier en octobre 2018, mais je n'ai pas donné suite.
En mai 2023plus j'ai reçu un e-mail du courtier bancaire Cafpi, m'indiquant que « certaines données personnelles avaient été exfiltrées ».
J'ai demandé quelles étaient ses données. On vient de me répondre (cela concerne les données de ma compagne et les miennes) :
- nom et prénom
- adresse e-mail
- numéro de téléphone
- revenus mensuels
- secteur professionnel
- statut marital
- adresse postale
- date de naissance

Cafpi a donc conservé ses données alors que je n'avais pas donné suite à leur proposition : ils auraient du les supprimer.
De plus, elles n'ont pas été chiffrées dans leur base de données. Si cela avait été le cas, l'intrusion informatique n'aurait pas eu les mêmes conséquences, puisque les données n'auraient pas pu être exploitées.

Le site gouvernemental dédié à la cybermalveillance indique ceci :

Une violation de données personnelles peut être d’une extrême gravité pour la personne qui en est la victime : atteinte à l’image, atteinte à la vie privée, etc.

et :

Si plusieurs personnes sont victimes d’une même violation de données personnelles, il est possible d’engager une action de groupe. Il s’agit d’une procédure dite « collective » devant les tribunaux qui permet aux personnes subissant une atteinte à la protection de leurs données personnelles de demander la cessation et réparation de cetie violation. Pour ce faire, il faut que le responsable de traitement (exemple : une administration, une entreprise, un site internet, etc.) ou son sous-traitant ne respectent pas ses obligations en matière de protection des données personnelles. La procédure peut être engagée par une association de protection de la vie privée et des données personnelles, une association de défense des consommateurs agréée au niveau national ou bien les syndicats agréés de fonctionnaires ou salariés. Dans le cadre de cette procédure, la demande d’indemnisation s’applique uniquement aux faits survenus après le 24 mai 2018.

L'UFC Que Choisir est listée dans les associations agréées au niveau national.
Je voudrais donc savoir si une action de groupe a été ouverte, ou si je dois le faire par mes propres moyens (dépôt de plainte, etc.)

De plus, je voudrais savoir quel est mon « statut » : faut-il avoir été victime d'un phishing suite à ce piratage, pour être considéré comme une victime ? Ou bien le simple fait que les données aient été dévoilées car pas assez sécurisées suffit ?

Merci pour vos retours.

Messagepar **valioud** » 10 sept. 2023, 15:41

Des données personnelles datant de bientôt 5 ans ont-elles encore de la valeur ?
Votre situation a certainement changé sur toutes ces informations "exfiltrées".

L'UFC-Que Choisir vous aide grâce à son service de traitement en ligne des litiges.

Immobilier - S'assurer contre la baisse (Enquête)
Prêts immobiliers - Comment réduire le coût global de votre crédit (Enquête)
Prêts immobiliers - Les bons taux des courtiers (Enquête)
Emprunter après 60 ans (Enquête)
Crédit immobilier - Faut-il faire appel à un courtier ? (Enquête)

Messagepar **Jarodd** » 10 sept. 2023, 17:51

Je n'ai changé ni de nom, ni de date de naissance. J'utilise toujours le même e-mail. Je vis au même endroit, et la différence avec mon salaire d'il y a 5 ans est négligeable.
Est-ce que le fait que les données aient été enregistrées il y a 5 ans change quelque chose au fait qu'elles n'ont pas été sécurisées ?

Messagepar **valioud** » 11 sept. 2023, 18:31

Ca ne change rien au fait que nous sommes tous présents en moyenne dans des centaines de fichiers et que nous laissons régulièrement des informations personnelles. Le seul conseil est de toujours être vigilant quand on est sollicité par courriel, téléphone ou texto.

Mais tant qu'une infraction n'est pas constitué, je ne vois pas ce qu'il y a d'autre à faire.