Jan Guldentops
Jan Guldentops
Jan Guldentops est consultant en IT, réseaux et sécurité. Il est aussi chercheur ayant un faible pour les solutions open source. Avec BA, il imagine, crée et supporte diverses infrastructures et solutions de sécurité. Vous pouvez le joindre à l'adresse e-mail la plus courte au monde (j@ba.be ).
Opinion

03/01/13 à 14:23 - Mise à jour à 14:23

Fuite de données personnelles à la SNCB: La prise de conscience de la confidentialité vient-elle trop tard à la SNCB?

Prendre le train, c'est toujours un peu voyager, toujours un peu l'aventure. L'usager régulier du train sait ce qu'il peut attendre de nos chemins de fer nationaux. Notre fierté nationale se fait un honneur de fonctionner en retard du point de vue structurel et avec une capacité insuffisante. Comme si l'on faisait grève pour une énième raison imprécise et comme si l'on ne pouvait absolument pas compter sur le train. A mes yeux, le plus grave réside encore dans la façon 'créative' dont l'on y traite la réalité dans la communication avec les voyageurs.

Fuite de données personnelles à la SNCB: La prise de conscience de la confidentialité vient-elle trop tard à la SNCB?

© Belga

Prendre le train, c'est toujours un peu voyager, toujours un peu l'aventure. L'usager régulier du train sait ce qu'il peut attendre de nos chemins de fer nationaux. Notre fierté nationale se fait un honneur de fonctionner en retard du point de vue structurel et avec une capacité insuffisante. Comme si l'on faisait grève pour une énième raison imprécise et comme si l'on ne pouvait absolument pas compter sur le train. A mes yeux, le plus grave réside encore dans la façon 'créative' dont l'on y traite la réalité dans la communication avec les voyageurs.

Juste au moment où l'on pense que cela ne pourrait être pire, la SNCB parvient à faire circuler les données de quasiment un million et demi de clients des semaines durant (probablement même des mois) sur internet. Quiconque s'y connaissait un tant soit peu en Google, se retrouvait ainsi avec une belle liste sous forme d'une base de données CSV. En d'autres mots: des données privées comme votre adresse privée, date de naissance ou adresse e-mail ont été jetées en pâture. Un certain nombre de 'spammers/scammers' vont crier de joie avec tout ce qu'ils peuvent obtenir en quelques clics de souris.

Et que disent les chemins de fer? Ils considèrent cela comme un non-événement, même pas digne d'un communiqué de presse ou de fournir des explications lors d'une conférence de presse. Le Père Fouettard de service, le porte-parole Bart Crols, se contente de lancer quelques platitudes du genre: "Nous nous excusons formellement pour cet incident auprès de nos clients" et "Le respect de la vie privée de nos clients est pour nous une priorité." Bientôt, il lâchera quelque chose que ne renierait pas Digneffe en personne et dira que la faute en incombe aux voyageurs.

Selon les convenances et les règles légales, les chemins de fer doivent au minimum informer les personnes, dont les données ont été divulguées. La SNCB se tait dans toutes les langues vis-à-vis des victimes dans cette affaire. Heureusement, il y a eu l'initiative privée de Frédéric Jacobs qui, sur http://sncb.fredericjacobs.com, a posté une mini-application web toute simple vous permettant de contrôler si vos données font partie de la fuite ou non. Une initiative noble s'il en est, qui fait en réalité ce que la SNCB devrait faire. Vous pouvez cependant être sûr et certain qu'au service juridique, l'on est déjà activement en train de préparer une plainte en justice contre ce messager.

Les dénonciateurs ont de tout temps eu la vie dure. Les entreprises qui n'ont pas la conscience tranquille, tirent toujours sur le pianiste au lieu de faire ce qu'elles devraient faire: constater les dégâts, colmater les brèches et informer les instances et les victimes concernées.

Car il n'y a aucun doute à ce sujet: c'est une lourde erreur qui est à la base de la fuite des données personnelles. Une erreur qui, d'après mes connaissances juridiques limitées, pourraient même générer des amendes oscillant entre 100 et 100.000 ¤ par infraction pour les responsables. Cela démontre également la manière laxiste dont on traite les données personnelles à la SNCB et qu'il n'y existe aucune structure ni aucun plan pour limiter les dégâts en cas de problèmes.

Mais voyons aussi les choses en face: la SNCB n'est pas la seule entreprise à faire preuve de laxisme avec les données personnelles de ses clients. Ce n'est pas que je veux abonder dans le sens des entreprises laxistes avec leurs data et les données personnelles de leurs clients car rares sont les gens qui connaissent et encore moins tiennent compte de la réglementation régissant l'utilisation et le stockage des données personnelles.

Les conséquences juridiques et financières de la perte de ce genre de données peuvent cependant être importantes. En Belgique, nous sommes très en retard sur la Grande-Bretagne, où récemment encore, plusieurs administrations communales se sont vu infliger de lourdes amendes pour n'avoir pas traité correctement les données personnelles de leurs citoyens.
Voilà pourquoi je souhaiterais dans mon idéalisme naïf lancer un appel à la SNCB, aux responsables politiques et à la Justice. Veillons à ce que cette grave erreur engendre des conséquences pour ses responsables et que pour une fois, ce ne soit pas uniquement le voyageur qui en paie le prix. Peut-être cet épisode pourrait-il servir d'exemple pour que d'autres apprennent à traiter correctement vos et mes données personnelles. Car finalement, le respect de la vie privée n'est-il pas un droit de l'homme?

Nos partenaires