La fuite à la SNCB transmise à la Justice

© Belga
Guy Kindermans Rédacteur de Data News

Après s’être entretenue avec la SNCB, la Commission de protection de la vie privée a décidé que la fuite constitue bien une infraction à la loi et sera donc transmise à la Justice.

Après s’être entretenue avec la SNCB, la Commission de protection de la vie privée a décidé que la fuite constitue bien une infraction à la loi et sera donc transmise à la Justice.

L’entretien planifié entre la ‘Commission de la protection de la vie privée’ (CPVP) et la SNCB s’est soldé hier par la conclusion que la fuite de données de clients de cette dernière constitue bel et bien une infraction à la loi sur le respect de la vie privée. Il a été ici fait référence aux articles 4 et 16 par. 4, qui prévoient l’obligation pour des personnes et des entreprises de prévoir une protection correcte contre l’abus, le vol, etc. de données personnelles.

“Les explications de la SNCB étaient étoffées et plausibles”, a affirmé le président de la Commission, Willem Debreuckelaere. Concrètement, il n’y a pas eu de bug système ou d’attaque de piratage, mais il s’agissait d’une erreur humaine lors de la fusion de deux fichiers par NMBS Europe (respectivement des clients et personnes online qui avaient appelé le call center). Le document de travail concerné a été manifestement placé sur un serveur ouvert à internet et auquel des ‘crawlers’ comme ceux de Google avaient accès. La SNCB a rapidement retiré le fichier, dès qu’elle a été informée de la situation, mais “le fichier aurait bien été accessible à partir de mai 2012, et l’on ne sait pas précisément combien de fois il a été téléchargé ces derniers mois”.

La Commission de protection de la vie privée transmettra, comme prévu, ces informations à la Justice, où le procureur décidera si l’affaire devra être jugée ou pas. Cela pourrait éventuellement résulter en une amende pécuniaire pour la SNCB. Les personnes concernées pourraient éventuellement déposer plainte auprès du tribunal, mais elles devraient dans ce cas pouvoir faire la preuve des dommages réels subis pour avoir une chance d’obtenir réparation. Entre-temps, 2014 personnes ont déjà pris contact avec la CPVP.

Même s’il n’existe pas (encore) d’obligation légale de prendre contact avec les personnes victimes d’une fuite de données, la Commission va suivre de très près ce cas (entre autres mercredi prochain lors de sa prochaine réunion). Une initiative commune de la SNCB et de la Commission envers les personnes touchées par la fuite y sera envisagée. Entre-temps, la SNCB a manifestement déjà pris contact avec les victimes via Facebook.

En tirer les leçons

Le président de la Commission Debreuckelaere n’exclut pas que l’on connaisse à présent une période au cours de laquelle davantage d’incidents similaires se manifesteront, parce que d’aucuns vont être sans aucun doute tentés d’effectuer activement des recherches dans ce sens. “Je me demande moi-même quand la prochaine fuite aura lieu”, déclare-t-il. Les entreprises, organisations et institutions feraient donc bien d’examiner sérieusement tout cela à la loupe, dans l’optique par exemple de trouver de bons accords, procédures, systèmes de mise en garde, etc. La Commission de protection de la vie privée a du reste publié en la matière de très nombreux avis et conseils.

Dans ce cas, il s’agissait “bien d’une importante violation de données. Certes, ce n’étaient pas des données médicales ou financières, mais ce genre d’informations existe pourtant bel et bien dans pas mal d’entreprises et d’organisations. J’espère que l’on sera donc plus circonspect en la matière à l’avenir car les fuites de données ne sont pas de simples faits divers”, a conclu Debreuckelaere.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire