Le 8 novembre 2022, plusieurs personnes se sont inquiétées d’un prélèvement suspect de 49,85€ au profit de « SOLFEX France SASU ». Rapidement, ces personnes trouvent un point commun entre elles : elles sont (ou ont été) employées par Adecco, et se rassemblent dans un groupe Facebook, pour être rapidement plus d’un millier.
Le phénomène est d’ampleur : dès le lendemain, une même agence bancaire avait déjà reçu plusieurs réclamations quelques heures après son ouverture. Interrogées par les intérimaires, les agences d’intérim locales ont répondu le 9 novembre qu’il y avait bien un problème de fuite de données…
Pourtant, le 11 novembre, Adecco Group publiera un démenti indiquant que « aucun lien n’a été établi entre ces prélèvements frauduleux effectués par une société tierce et les missions de nos intérimaires ». Et plus d’un mois plus tard, « envisagera » seulement une fuite de données qui ne pouvait pourtant plus faire de doutes, dans un email adressé le 23 décembre 2022 aux intérimaires du groupe : « le groupe Adecco a été victime d’une tentative d’extraction de données (…) vos données personnelles présentes dans un de nos système d’informations (noms, prénoms, adresses emails, numéros de sécurité sociale et coordonnées bancaires) ont été potentiellement divulguées ».
Entretemps, les milliers de victimes se débattaient seules pour faire annuler ce prélèvement mis en place le 12 octobre 2022 et configuré pour être répété chaque mois… D’autant que tous les banquiers n’ont pas été honnêtes : certains ont recommandé de « faire opposition » au virement (prestation payante), alors que ce prélèvement ayant été mis en place sans signature de mandat de prélèvement, il suffisait de faire gratuitement un « REJET » du prélèvement, comme le prévoit la norme SEPA.
Pour être complet, reconnaissons que certaines banques ont d’elles-mêmes pris les devants : face au volume de demandes de rejets de prélèvements, elles ont bloqué tous les mandats de prélèvement de cet émetteur. Las, quelques jours plus tard, deux autres prélèvements, provenant de deux autres sociétés (allemandes cette fois) qui seront présentés sur les comptes des intérimaires.
Certains intérimaires d’Adecco expriment vivre désormais dans l’angoisse de devoir surveiller régulièrement leur compte bancaire pour déceler d’éventuels nouveaux prélèvements frauduleux, et la crainte d’être victime d’une usurpation d’identité, soit auprès de la sécurité sociale, soit auprès d’un organisme de prêts bancaires…
Cette fuite de données constitue une « violation de données » au sens du RGPD, et certains intérimaires considèrent que Adecco ne les a pas notifiés dans les « meilleurs délais » comme prévu par le texte de loi. Mais le RGPD les protège, puisqu’ils pourront demander réparation « à hauteur du préjudice subit » en application de l’article 82 du RGPD.
Je ne serai pas non plus surpris si la CNIL infligeait une sanction publique pour non-respect du RGPD, notamment l’obligation de minimisation et limitation (suppression) des données qui ne sont plus utiles : certaines victimes n’avaient plus effectué de mission d’intérim depuis plus de 5 ans…
Werner KLINGER
Ingénieur Conseil Web et Technologies de l’Information