Il y a quelques jours, un internaute est tombé par hasard, avec une simple recherche Google, sur un fichier de clients de la SNCB. Ce fichier contenait pas moins de 1 460 740 lignes, avec pour chacune les nom, prénom, email, adresse postale et numéros de téléphone. C’est un fiasco total puisque d’après la loi, ce type de données à caractère personnel ne peuvent être divulguées. La SNCB vient donc d’enfreindre plus d’un million de fois la loi en un clic.
Pour une discussion détaillée, je vous conseille le billet de Patrick Vande Walle sur les détails techniques et sur les mensonges de la communication de la SNCB. Je dis bien mensonge puisque l’entreprise prétend que l’internaute ayant découvert le fichier aurait usé d’un « stratagème », ce dont on ne peut sérieusement qualifier Google.
Il est tout à fait possible que la SNCB ait eu besoin de ce fichier pour des raisons internes comme préparer un emailing promotionnel, par exemple. En revanche, que ce fichier se retrouve pendant un mois sur un serveur web publiquement accessible est tout bonnement incompréhensible. Cela dénote de la part de la SNCB – au choix – de la légèreté ou de l’incompétence dans la gestion des données personnelles de leurs clients qu’elle a pourtant l’obligation légale de protéger.
Mon hésitation entre les deux explications n’a malheureusement pas diminué lorsque, tout récemment, Hugo Poliart (conseiller communication en ligne de SNCB Holding) n’a pas trouvé mieux que d’ironiser sur cette affaire, dont la gestion par la filiale de son employeur n’est pas l’aspect le moins scandaleux. Dans un billet sur son blog personnel, supprimé depuis mais dont vous avez une capture dans cet article, il se moque de ces gens qui partagent leur vie sur les réseaux sociaux et s’inquiètent soudain de voir circuler leur adresse email.
L’ironie ne m’a pas complètement échappé moi non plus et j’aurais pu trouver son billet amusant si par ailleurs, en plus d’une fondamentale différence entre un partage volontaire et une fuite, le comportement de la SNCB n’avait pas été aussi déplorable. J’attends toujours un email d’excuse de la SNCB et l’assurance que des mesures seront prises. Faire preuve d’humilité me semble dans ce genre d’affaires l’attitude la plus efficace. Je signale que contacter les utilisateurs est aussi une obligation légale. Dans l’attente d’un mail, j’encourage tout le monde à contacter la Commission Protection Vie Privée.
Tant dans sa gestion technique des données que dans sa communication de crise, j’ai bien peur que la SNCB doive faire preuve d’un peu moins de légèreté et d’un peu plus de compétence.
Post scriptum. Hugo Poliart a souhaité que j’apporte la précision suivante : il n’est pas directement employé par SNCB mais SNCB Holding, la holding de contrôle de l’ancien monopole public. À propos de SNCB Holding, sachez que sa « mission consiste à fournir un certain nombre de services à ses deux filiales » SNCB et Infrabel. SNCB Holding gère le personnel et le patrimoine des deux sociétés.
francbelge 