La SNCB Europe divulgue les données personnelles de plus d’un million d’usagers

Bruxelles, le 23 décembre 2012 - Pendant plusieurs semaines, les données personnelles de millions de clients de la SNCB Europe étaient librement accessibles sur Internet. Si l’on ignore les termes exacts de la requête effectuée par l’internaute à l’origine de la divulgation, les données étaient bel et bien accessibles via une simple requête dans un moteur de recherche.

Dans l’après-midi du 22 décembre 2012, un utilisateur du forum "ADSL-BC" partage avec stupeur la découverte qu’il vient de réaliser. Au hasard d’une requête sur un moteur de recherche, il tombe sur une liste de millions de clients de la SNCB Europe contenant nom, prénom, civilité, adresse e-mail et, parfois, adresse postale et numéro de téléphone. Sur les conseils d’autres utilisateurs du forum, il censurera rapidement l’URL du fichier afin d’éviter que celui-ci ne subisse une plus large exposition.

Capture d’écran anonymisée du fichier divulgué

Taille du fichier : 181.6 Mo
Nombre d’entrées dans la liste : 1 460 735

En-têtes : CUST_ID, CONTACT_STATE, ACTIVE, DISTRIBUTOR, CUST_TYPE, GENDER, FIRSTNAME, LASTNAME, BIRTHDATE, LOGON_ID, REGISTERED, CONTACT_LANGUAGE, CONTACT_LANGUAGE_XX, STREET, HOUSE_NR, ADDITIONAL_NR, POSTAL_CODE, CITY, COUNTRY, PRIVATE_FIXED_TELEPHONE, PRIVATE_MOBILE_TELEPHONE, BUSINESS_TELEPHONE, EMAIL.

Si l’on soustrait la ligne dédiée aux en-têtes du tableau, le fichier comporte 1 460 734 entrées. Chaque ligne concerne un client de la SNCB Europe.

Contrairement à ce qu’affirme le porte-parole de la SNCB Europe, un fichier disponible sur Internet n’est pas « privé » simplement parce que son adresse (URL) n’est pas révélée. Rappelons que tout fichier, toute information accessible via Internet est de facto publique si leur accès n’est pas restreint par un mécanisme d’authentification. Dans le cas présent, aucun dispositif ne conditionnait l’accès au fichier.

Cette situation est particulièrement cocasse au regard de la politique de la SNCB Europe concernant l’open data 1. En effet, cette dernière a systématiquement entravé toute tentative des usagers de développer des applications pour terminaux mobiles permettant une consultation aisée (et gratuite) des horaires des trains. Pendant ce temps, elle divulguait de manière complète et libre les données personnelles de plus d’un million d’usagers.

« Contrairement à ce qu’affirme le porte-parole de la SNCB Europe, l’internaute ayant révélé l’information n’a usé d’aucun stratagème pour accéder au fichier. Cette liste d’ 1 460 734 clients était accessible librement via une requête anodine sur un moteur de recherche. La SNCB Europe a réalisé une gestion irresponsable des données personnelles de ses usagers. En ne prenant aucune mesure pour garantir que ces données soient inaccessibles au public, la SNCB Europe a failli à son devoir de protection des données personnelles de ses clients. », conclut André Loconte, porte-parole de la NURPA.

Les usagers lésés peuvent notamment saisir la CPP.

Références

1 : voir la revue de presse de l’ASBL « iRail » sous le titre « iRail being forced to cease and desist (& continuing) »