J'ai ouvert un dossier chez le courtier Cafpi pour un prêt immobilier en octobre 2018, mais je n'ai pas donné suite.
En mai 2023plus j'ai reçu un e-mail du courtier bancaire Cafpi, m'indiquant que « certaines données personnelles avaient été exfiltrées ».
J'ai demandé quelles étaient ses données. On vient de me répondre (cela concerne les données de ma compagne et les miennes) :
- nom et prénom
- adresse e-mail
- numéro de téléphone
- revenus mensuels
- secteur professionnel
- statut marital
- adresse postale
- date de naissance
Cafpi a donc conservé ses données alors que je n'avais pas donné suite à leur proposition : ils auraient du les supprimer.
De plus, elles n'ont pas été chiffrées dans leur base de données. Si cela avait été le cas, l'intrusion informatique n'aurait pas eu les mêmes conséquences, puisque les données n'auraient pas pu être exploitées.
Le site gouvernemental dédié à la cybermalveillance indique ceci :
et :Une violation de données personnelles peut être d’une extrême gravité pour la personne qui en est la victime : atteinte à l’image, atteinte à la vie privée, etc.
L'UFC Que Choisir est listée dans les associations agréées au niveau national.Si plusieurs personnes sont victimes d’une même violation de données personnelles, il est possible d’engager une action de groupe. Il s’agit d’une procédure dite « collective » devant les tribunaux qui permet aux personnes subissant une atteinte à la protection de leurs données personnelles de demander la cessation et réparation de cetie violation. Pour ce faire, il faut que le responsable de traitement (exemple : une administration, une entreprise, un site internet, etc.) ou son sous-traitant ne respectent pas ses obligations en matière de protection des données personnelles. La procédure peut être engagée par une association de protection de la vie privée et des données personnelles, une association de défense des consommateurs agréée au niveau national ou bien les syndicats agréés de fonctionnaires ou salariés. Dans le cadre de cette procédure, la demande d’indemnisation s’applique uniquement aux faits survenus après le 24 mai 2018.
Je voudrais donc savoir si une action de groupe a été ouverte, ou si je dois le faire par mes propres moyens (dépôt de plainte, etc.)
De plus, je voudrais savoir quel est mon « statut » : faut-il avoir été victime d'un phishing suite à ce piratage, pour être considéré comme une victime ? Ou bien le simple fait que les données aient été dévoilées car pas assez sécurisées suffit ?
Merci pour vos retours.