SÉNAT DE BELGIQUE
________
Session 2012-2013
________
6 mars 2013
________
SÉNAT Question écrite n° 5-8409

de Bert Anciaux (sp.a)

au ministre des Entreprises publiques et de la Coopération au développement, chargé des Grandes Villes
________
Les conséquences d'une fuite de données à la Société nationale des chemins de fer belges
________
Société nationale des chemins de fer belges
protection des données
protection de la vie privée
données personnelles
________
6/3/2013 Envoi question
14/3/2013 Réponse
________
Requalification de : demande d'explications 5-2885
________
SÉNAT Question écrite n° 5-8409 du 6 mars 2013 : (Question posée en néerlandais)

La Commission vie privée a récemment reçu une avalanche de plaintes, plus de 1 700, à propos d'une fuite de données à la SNCB. Cette dernière a confirmé les faits. À la suite d'un problème dans ses banques de données, les données personnelles de près d'un million et demi de ses clients se sont retrouvées sans protection sur internet.

Les problèmes informatiques ne datent pas d'hier et sont manifestement une constante, malgré l'expérience accumulée en la matière en un peu plus de deux décennies. En outre, la fourniture et l'entretien des systèmes informatiques de la SNCB, tant du point de vue des logiciels que du matériel, sont confiés en sous-traitance à des entreprises et des experts sélectionnés avec circonspection, très onéreux et par conséquent, n'en doutons pas, hautement compétents.

Une bévue comme cette fuite de données de clients de la SNCB n'en est que plus grave, mais aussi inquiétante, et suscite inévitablement des questions sur la qualité des systèmes informatiques de la SNCB.

Comment est survenue la fuite de données ? Qu'est-ce qui, très concrètement, n'a pas fonctionné dans les systèmes informatiques de la SNCB ? S'agit-il d'une erreur humaine, d'une erreur de système, d'une circonstance imprévue ? Le ministre trouve-t-il acceptable qu'une organisation hautement professionnelle comme la SNCB soit confrontée à une bévue d'une telle gravité ? À qui va-t-il en imputer la responsabilité ? S'agit-il d'une erreur d'un sous-traitant ou du personnel de la SNCB ? Où est survenue la défaillance du contrôle de qualité ?

La fuite de données occasionne-t-elle ou a-t-elle occasionné des coûts ou désagréments supplémentaires à la SNCB ? Dans l'affirmative, quels sont-ils, quelle est leur ampleur et qui les supporte ? Dans la négative, pourquoi n'est-ce pas le cas ?

La fuite de données occasionne-t-elle ou a-t-elle occasionné des coûts ou désagréments supplémentaires aux clients de la SNCB ? Dans l'affirmative, quels sont-ils, quelle est leur ampleur et qui les supporte ? Dans la négative, pourquoi n'est-ce pas le cas ?

Comment évitera-t-on à l'avenir ce genre de problème et de bévue ? Dans l'intervalle, quelles mesures concrètes ont-elles été prises dans ce sens ?

Réponse reçue le 14 mars 2013 :

En réponse aux questions de l'honorable membre, j'ai l'honneur de lui communiquer les éléments suivants:

Je déplore bien entendu cette fuite de données personnelles. Il est évident que de tels faits sont extrêmement regrettables et qu’ils ne peuvent se reproduire.

Un audit technique réalisé par une entreprise externe a démontré qu’une erreur humaine commise par inadvertance est à la base du fait qu'un fichier de données personnelles des clients de la Société nationale des chemins de fer belges (SNCB) a malencontreusement été mis en ligne. Dans le cadre d’un nettoyage des données, un collaborateur de SNCB Europe a décidé de sa propre initiative de mettre un fichier de données personnelles des clients à disposition via un serveur FTP (file transfer protocol) qui a placé son contenu sur le service web, lequel est accessible au public.

Il s’agit donc, selon le rapport de la SNCB, d’une erreur humaine isolée et pas d’une défaillance technique ni systématique.

L’incident relatif à la fuite de données a été communiqué le 22 décembre 2012 par un client qui a pris contact avec le call center de SNCB Europe. Dès connaissance de l’incident, SNCB Europe a immédiatement pris des mesures pour renforcer les procédures de sécurité existantes.

Il est à ce stade impossible d’estimer les dommages éventuels pour la SNCB ou pour ses clients. La SNCB a attiré l’attention de toute personne qui pourrait être en possession de ce fichier, par l'intermédiaire de communiqués de presse et dans les médias sociaux, qu’aucune utilisation ne peut en être faite et que ce fichier doit être effacé définitivement. L'utilisation des données personnelles par ces personnes est en effet punissable par la loi. A la date du 15 janvier 2013, la SNCB ne disposait d’aucune indication selon laquelle le fichier a été utilisé à mauvais escient.

Sur la base des constatations de l'audit externe, de nouvelles mesures ont été prises ou planifiées quant aux procédures et aux systèmes. Un responsable de la gestion de la protection des données relatives à la vie privée au sein de la SNCB a ainsi été désigné. Elle travaillera, en collaboration avec les entités informatiques ICTRA et Syntigo pour assurer la bonne exécution de la « security policy » développée pour garantir et contrôler la sécurité des informations de la SNCB.