La SNCB Europe divulgue les données personnelles de plus d’un million d’usagers

Bruxelles, le 23 décembre 2012 - Pendant plusieurs semaines, les données personnelles de millions de clients de la SNCB Europe étaient librement accessibles sur Internet. Si l’on ignore les termes exacts de la requête effectuée par l’internaute à l’origine de la divulgation, les données étaient bel et bien accessibles via une simple requête dans un moteur de recherche.

Dans l’après-midi du 22 décembre 2012, un utilisateur du forum "ADSL-BC" partage avec stupeur la découverte qu’il vient de réaliser. Au hasard d’une requête sur un moteur de recherche, il est confronté à une liste reprenant les informations personnelles de plus d’un million de clients de la SNCB Europe (nom, prénom, civilité, adresse e-mail, adresse postale ou encore numéro de téléphone). Sur les conseils d’autres utilisateurs du forum, il supprimera rapidement l’URL du fichier afin d’éviter que celui-ci ne subisse une plus large exposition.

Capture d’écran anonymisée du fichier divulgué

Taille du fichier : 181.6 Mo
Nombre d’entrées dans la liste : 1 460 735

En-têtes : CUST_ID, CONTACT_STATE, ACTIVE, DISTRIBUTOR, CUST_TYPE, GENDER, FIRSTNAME, LASTNAME, BIRTHDATE, LOGON_ID, REGISTERED, CONTACT_LANGUAGE, CONTACT_LANGUAGE_XX, STREET, HOUSE_NR, ADDITIONAL_NR, POSTAL_CODE, CITY, COUNTRY, PRIVATE_FIXED_TELEPHONE, PRIVATE_MOBILE_TELEPHONE, BUSINESS_TELEPHONE, EMAIL.

Contrairement à ce qu’affirme le porte-parole de la SNCB Europe, un fichier disponible sur Internet n’est pas « privé » simplement parce que son adresse (URL) n’est pas révélée. Rappelons que tout fichier, toute information accessible via Internet est de facto publique si son accès n’est pas restreint par un mécanisme d’authentification. Dans le cas présent, aucun dispositif ne conditionnait l’accès au fichier.

Cette situation est particulièrement cocasse au regard de la politique de la SNCB Europe concernant l’open data 1. En effet, cette dernière a systématiquement entravé toute tentative des usagers de développer des applications pour terminaux mobiles permettant une consultation aisée (et gratuite) des horaires des trains. Pendant ce temps, elle divulguait de manière complète et libre les données personnelles de plus d’un million d’usagers.

« Contrairement à ce qu’affirme le porte-parole de la SNCB Europe, l’internaute ayant révélé l’information n’a usé d’aucun stratagème pour accéder au fichier. Cette liste d’ 1 460 734 clients était accessible librement via une requête anodine sur un moteur de recherche. La SNCB Europe a réalisé une gestion irresponsable des données personnelles de ses usagers. En ne prenant aucune mesure pour garantir que ces données soient inaccessibles au public, la SNCB Europe a failli à son devoir de protection des données personnelles de ses clients. », conclut André Loconte, porte-parole de la NURPA.

Les usagers lésés peuvent notamment saisir la CPP.

Références

1 : voir la revue de presse de l’ASBL « iRail » sous le titre « iRail being forced to cease and desist (& continuing) »

En l'absence d'indication contraire, l'ensemble des contenus publiés sur le site web est mis à disposition selon les termes de la licence Creative Commons BY-SA.