© Logica 2011. All rights reserved
Veille secteur bancaire Janvier 2012
Emetteur Samuel Le Péchoux
Pôle Conseil I-SC
Client Le système d'information du Crédit Mutuel-CIC est mis à mal
Deux sites du groupe ont reçu la visite de délégations de la Cnil. Elle enquête sur un accès indu massif aux données
confidentielles de clients.
Un grain de sable vient d'entacher la réputation du système d'information du Crédit Mutuel- CIC, alors que la banque mutuelle se targue d'en
faire un axe majeur de sa stratégie. Deux structures du groupe ont reçu hier la visite de deux délégations de la Cnil (Commission nationale
de l'informatique et des libertés) à la suite des révélations du Canard Enchaîné mercredi. De sources concordantes, il s'agirait d'Euro-
Information (qui regroupe les structures informatiques) et du Républicain Lorrain quotidien appartenant au pôle presse du groupe
mutualiste.
Selon l'hebdomadaire, les journalistes des nombreux titres détenus par la banque (entre autres les Dernières Nouvelles d'Alsace, le Progrès,
le Bien Public, le Dauphiné Libéré) ont fortuitement eu accès aux données bancaires, documents dématérialisés et e-mails de milliers de
clients du CIC"> CM- CIC, ainsi qu'à la correspondance électronique des collaborateurs du groupe. Cause probable de ce «bug»: un réseau
informatique commun et intégré. CIC"> CM- CIC avance une autre interprétation: «Il s'agit juste d'un acte de malveillance», s'est borné à
répondre un porte-parole, qui ne souhaite pas «interférer dans une procédure en cours», celle de la Cnil.
«L'article [du Canard Enchaîné] nous a alertés, a confirmé à L'Agefi Sophie Nerbonne, directrice adjointe des affaires juridiques de la Cnil.
Nous avons lancé des investigations pour vérifier la teneur des éléments portés à notre connaissance.» Le travail des délégations consiste à
vérifier la réalité des problèmes évoqués et, le cas échéant, si les mesures adéquates ont été prises pour y remédier. La commission peut
alors entamer une procédure de mise en demeure, à l'issue de laquelle une sanction pécuniaire peut être infligée. Cette phase contentieuse
peut toutefois être interrompue si des mesures ont été prises, si l'organisme contrôlé n'a pas fait preuve de mauvaise foi ou en cas d'absence
de dommages aux victimes. Une issue positive qui intervient «dans plus de 95% des cas».
Restent les éventuelles conséquences en termes de réputation. En outre, cette affaire intervient en plein processus de révision de la directive
européenne sur la protection des données personnelles; elle pourrait conduire à la généralisation de l'obligation de publicité des failles de
sécurité à l'ensemble des responsables de traitement de l'information. Pour l'instant, cette obligation ne concerne que les acteurs de
l'internet.
Source L’AGEFI – 30/12/2011
No. 1Veille du pôle Conseil ISC - Logica Wst - secteur banque
1 / 1 100%