sncb – francbelge

mars 28, 2013

Fuite de données personnelles, la SNCB reconnait son erreur

A la fin de l’année 2012, un internaute attentif avait trouvé par hasard sur un serveur web de SNCB Europe un fichier contenant les données personnelles de 1,5 millions de clients. Après enquête de la Commission de la protection de la vie privée, la SNCB vient d’envoyer un courrier à tous les internautes concernés. L’entreprise reconnait la faute et jure qu’on ne l’y reprendra plus, et ajoute :

« En ce qui concerne les éventuelles demandes d’indemnisation, la SNCB appliquera les obligations légales en vigueur. En ce cas, il appartient à une personne qui demande réparation […] de démontrer ce dommage, ainsi que la faute commise par la SNCB et le lien de causalité entre cette faute et le dommage subi. »

En ce qui concerne la faute, la preuve est déjà établie… grâce à ce courrier.

janvier 2, 2013

L'affaire SNCB prend de l'ampleur

Un fichier contenant des données à caractère personnel appartenant à près de 1,5 millions de clients de la SNCB a été divulgué sur le web par la SNCB durant un mois à l’insu de tous. En pleine période de fêtes, à l’heure où les journalistes digéraient le chapon loin de leurs rédactions, l’affaire a commencé mollement. C’est en train de changer. Voici une petite revue des liens les plus intéressants au sujet de l’affaire :

[23 décembre] La SNCB Europe divulgue les données personnelles de plus d’un million d’usagers, NURPA. Un billet de Net Users’ Rights Protection Association qui résume le début de l’affaire, la trouvaille d’un internaute et la réponse étrange de la SNCB.
[22 décembre] Post-mortem: LA SNCB met en ligne les coordonnées de 1.400.000 clients, par Patrick Vande Walle. Un résumé très efficace du début de l’affaire et de ses aspects les plus techniques, qui révèle les erreurs commises par la SNCB.
[28 décembre] An analysis of the leaked personal data of 1.5 million @SNCBEurope customers, par Xavier Damman. Une analyse statistique des données récupérées qui permet d’avoir une idée de l’ampleur du problème : qui sont les personnes dans ce fichier, quelles données y sont révélées ?
[28 décembre] À propos des leaks de la SNCB Europe, par Damien Van Achter. Sur le manque de réaction médiatique et politique au début de l’affaire et la nécessité d’une réelle gouvernance dans les grandes entreprises.
SNCB Leak Check, par Frédéric Jacobs. C’est un outil qui permet de vérifier si vos données à caractère personnel ont été divulguées. Ce site n’héberge pas et ne révèle pas les données.
La SNCB s’excuse officiellement sur son site. On notera que l’excuse retenue est que l’accès au fichier nécessitait « une connaissance approfondie des moteurs de recherche ».
[1er janvier] La SNCB pourrait réagir contre le site analysant le fichier de données volées, RTBF.
[2 janvier] SNCBgate : « L’affaire est grave », Le Soir. « La SNCB risque une amende de 100 à 100.000 euros »
[2 janvier] Frédéric a décidé de mettre hors-ligne son site SNCB Leak Check.
[3 janvier] SNCBgate : un record de lettres envoyées à la Commission vie privée, Le Soir. 1700 plaintes ont été formulées depuis le début de l’affaire. En 2011, la commission avait traité en tout 2900 dossiers. Impressionnant.
[3 janvier] Fichier SNCB : réaction de Paul Magnette, RTBF. Première réaction politique (prudente) du ministre de tutelle de la SNCB qui demande une enquête. On remarquera que monsieur le ministre Paul Magnette dit une bêtise. Ces « données strictement administratives » sont bien des données à caractère personnel selon la loi.
[3 janvier] Not only SNCB-NMBS is leaking, par Bror De Jonck. Le ministère de la défense belge a aussi des fuites. Toujours ce satané stratagème Google !
[4 janvier] SNCBgate: « Une erreur lors d’une opération de maintenance exceptionnelle », RTBF. La SNCB a enfin trouvé son lampiste. Au passage, l’on apprend que les données sont en fait publiquement accessibles depuis 6 mois.
[5 janvier] La fuite à la SNCB transmise à la Justice, Datanews. La Commission Vie Privée reconnait qu’il s’agit bien d’une importante violation de données.

Pour porter plainte, je vous conseille d’envoyer directement un mail à la Commission Vie Privée. Vous pouvez joindre au message une copie de votre carte d’identité.

Vous pouvez aussi porter réclamation auprès de la SNCB en envoyant un mail à l’adresse internet-int@b-rail.be.

décembre 30, 2012

Incompétence et légèreté à la SNCB

Il y a quelques jours, un internaute est tombé par hasard, avec une simple recherche Google, sur un fichier de clients de la SNCB. Ce fichier contenait pas moins de 1 460 740 lignes, avec pour chacune les nom, prénom, email, adresse postale et numéros de téléphone. C’est un fiasco total puisque d’après la loi, ce type de données à caractère personnel ne peuvent être divulguées. La SNCB vient donc d’enfreindre plus d’un million de fois la loi en un clic.

Pour une discussion détaillée, je vous conseille le billet de Patrick Vande Walle sur les détails techniques et sur les mensonges de la communication de la SNCB. Je dis bien mensonge puisque l’entreprise prétend que l’internaute ayant découvert le fichier aurait usé d’un « stratagème », ce dont on ne peut sérieusement qualifier Google.

Il est tout à fait possible que la SNCB ait eu besoin de ce fichier pour des raisons internes comme préparer un emailing promotionnel, par exemple. En revanche, que ce fichier se retrouve pendant un mois sur un serveur web publiquement accessible est tout bonnement incompréhensible. Cela dénote de la part de la SNCB – au choix – de la légèreté ou de l’incompétence dans la gestion des données personnelles de leurs clients qu’elle a pourtant l’obligation légale de protéger.

Mon hésitation entre les deux explications n’a malheureusement pas diminué lorsque, tout récemment, Hugo Poliart (conseiller communication en ligne de SNCB Holding) n’a pas trouvé mieux que d’ironiser sur cette affaire, dont la gestion par la filiale de son employeur n’est pas l’aspect le moins scandaleux. Dans un billet sur son blog personnel, supprimé depuis mais dont vous avez une capture dans cet article, il se moque de ces gens qui partagent leur vie sur les réseaux sociaux et s’inquiètent soudain de voir circuler leur adresse email.

L’ironie ne m’a pas complètement échappé moi non plus et j’aurais pu trouver son billet amusant si par ailleurs, en plus d’une fondamentale différence entre un partage volontaire et une fuite, le comportement de la SNCB n’avait pas été aussi déplorable. J’attends toujours un email d’excuse de la SNCB et l’assurance que des mesures seront prises. Faire preuve d’humilité me semble dans ce genre d’affaires l’attitude la plus efficace. Je signale que contacter les utilisateurs est aussi une obligation légale. Dans l’attente d’un mail, j’encourage tout le monde à contacter la Commission Protection Vie Privée.

Tant dans sa gestion technique des données que dans sa communication de crise, j’ai bien peur que la SNCB doive faire preuve d’un peu moins de légèreté et d’un peu plus de compétence.

Post scriptum. Hugo Poliart a souhaité que j’apporte la précision suivante : il n’est pas directement employé par SNCB mais SNCB Holding, la holding de contrôle de l’ancien monopole public. À propos de SNCB Holding, sachez que sa « mission consiste à fournir un certain nombre de services à ses deux filiales » SNCB et Infrabel. SNCB Holding gère le personnel et le patrimoine des deux sociétés.