LCL : la CNIL se penche sur le bug embarrassant qui donnait accès aux comptes d’autres clients

La CNIL s'empare du bug d'ampleur survenu ce mardi sur l'application mobile de la banque LCL. Auprès de BFM Tech, le gendarme des données personnelles indique avoir reçu une notification de la banque ce 25 février, soit 48h après un bug informatique d'une ampleur inédite. Un signalement conforme aux obligations prévues par le RGPD, le règlement européen en vigueur sur la protection des données personnelles.

Ce 23 février dans la soirée, les utilisateurs de l'application mobile de LCL ont eu la surprise d'accéder non plus à leurs propres comptes mais à ceux d'autres clients. Le solde de leurs comptes et les dernières transactions réalisées étaient notamment visibles, sans possibilité d’effectuer des opérations bancaires pour autant. Certains clients de la banque indiquaient sur Twitter avoir reçu des demandes d’accès à leurs propres comptes.

Un "bug technique"

"L’appli LCL a fait l’objet d’un bug informatique de 17h40 à 18H40 ce 23 février, à l’occasion de la mise en place d’une évolution de l’application. Il ne s’agit pas d’une cyberattaque", avait maintenu la banque, par un communiqué diffusé dans la soirée. L’application avait été suspendue en fin de journée, le temps de remédier au "bug". LCL indique avoir identifié la cause de ce dernier, sans communiquer davantage sur le sujet.

LCL estime que, sur l’heure durant laquelle auront duré les dysfonctionnements, 72.000 clients utilisaient l’application, pour quelques centaines d’entre eux véritablement concernés par le bug. La banque maintient que les informations visibles ne permettaient "pas d’identifier nominativement les détenteurs des comptes affichés, ni de réaliser la moindre opération".

Une identification qui pourrait toutefois se faire par des moyens détournés, par exemple en étudiant la liste des dépenses affichées sur l’espace numérique d’un autre client.

La CNIL aura désormais la charge d’instruire cette notification pour évaluer dans quelle mesure cette violation a porté atteinte aux données personnelles, s’assurer que les personnes concernées ont été correctement informées et que les mesures techniques de protection des données déployées avant l’incident étaient, ou non, suffisamment robustes.

Pour rappel, les sanctions financières encourues en vertu du RGPD pour un défaut de protection de données personnelles sont plafonnées à 20 millions d'euros d'amende ou 4% du chiffre d'affaires.