URSSAF : une fuite de données dévoile les revenus de cotisants tiers

L'information a commencé à tourner sur les réseaux sociaux, Twitter et Facebook en particulier. Dans la journée du lundi 1er mai, plusieurs personnes ont eu accès via leur compte URSSAF à des données sensibles d'autres cotisants, incluant les revenus déclarés au titre de 2022.

Des experts-comptables situés dans différentes régions de France ont également remonté ce dysfonctionnement. C'est le cas de Christelle (Choque) Gager, dirigeante du cabinet Innov'Conseil et présidente de la Commission innovation et performance numérique du Conseil régional de l'Ordre des experts-comptables des Hauts-de-France : « Après m'être connectée à mon espace sécurisé, j'ai eu la surprise de découvrir un fichier PDF de 149 pages au lieu de mon appel de cotisation ! Il contient les données de 37 entrepreneurs, dont moi... »

Nom, adresse, numéro Siret, IBAN... quelles sont les données qui ont fuité ?

Les données publiées par erreur sont le courrier de régularisation des cotisations 2022 et l'appel de cotisations 2023 (voir un exemple anonymisé ci-dessous). Ces courriers contiennent notamment :

• le nom du cotisant ;

• l'adresse ; 

• le numéro de compte URSSAF ;

• le numéro IBAN ; 

• les revenus déclarés au titre de l'année 2022.

» Télécharger le fichier PDF «

Un appel à la vigilance en cas de mouvements bancaires suspects

Contacté, l'URSSAF indique procéder actuellement à une investigation interne et apporte plusieurs éléments complémentaires sur l'ampleur du dysfonctionnement et les mesures à prendre pour les personnes concernées :

« Dans le cadre de la déclaration annuelle de revenus des travailleurs indépendants, les cotisations sociales des travailleurs indépendants sont recalculées à mesure que les indépendants déclarent leurs revenus. L'Urssaf adresse aux travailleurs indépendants qui ont déclaré leurs revenus une notification les informant de leur nouvel échéancier de cotisations.

C'est dans ce cadre qu'un incident informatique s'est produit au sein de l'Urssaf : les informations de travailleurs indépendants ayant réalisé leur déclaration de revenus avant le 27 avril ont été affichées sur le compte en ligne de 7 400 travailleurs indépendants (artisans commerçants et professions libérales).

L'Urssaf a immédiatement pris des mesures pour rétablir la situation : les documents concernés ont été supprimés des espaces en ligne. L'Urssaf est en train d'informer les usagers concernés.

Pour les personnes ayant eu accès à des informations ne les concernant pas, il leur a été expressément demandé de les supprimer. Pour les personnes dont les informations ont été potentiellement consultées, il leur est conseillé d'être vigilantes sur d'éventuels mouvements bancaires suspects.

La Cnil a également été informée conformément à l'article 34 du RGPD qui prévoit l'information des personnes concernées par la violation des données. L'Urssaf présente toutes ses excuses auprès des usagers concernés et les invite à contacter le 3698 pour tout complément d'information. Les auto-entrepreneurs ne sont pas concernés ».

Le nombre de personnes concernées n'est pas encore connu de façon définitive à ce stade. Selon les services de l'URSSAF, à l'heure où nous écrivons ces lignes, les envois du week-end du 1er mai concernaient au total 49 000 usagers, mais certaines URSSAF régionales auraient été épargnées par l'incident. Un chiffre à relativiser donc.

Des accès à la messagerie bloqués par précaution

L'URSSAF indique par ailleurs avoir bloqué par précaution « l'accès et donc les messages des personnes à qui avaient été adressées ces notifications et qui n'avaient pas encore consulté leur courrier ». Environ 22 000 comptes seraient concernés.

D'après nos informations, certains usagers qui avaient eu accès à ces données confidentielles ont également vu leur compte bloqué.

L'URSSAF a publié ce lundi 2 mai une information sur son site internet, confirmant que les personnes concernées, et elles seules, recevraient un courrier électronique leur indiquant la conduite à tenir. Selon nos informations, des messages ont été reçus dès lundi soir.