Porte ouverte à la RATP sur des données personnelles

Tout est parti d’une opération banale : un particulier, désireux d’obtenir un passe "navigo", procède à une inscription en ligne sur le site de la RATP. Seulement il voit que, via l’URL du formulaire qu’il remplit, son numéro de client apparaît. Un internaute est toujours curieux : il modifie ce numéro, et constate qu’il peut accéder sans problème à plus de mille dossiers de clients, révélant leur état-civil, leur adresse postale, leur adresse e-mail, leur numéro de téléphone, leur photographie. Problème.

Ce particulier prévient alors la RATP et Comutitres, le groupement d’intérêt économique qui gère les différents titres de transport en commun d’Ile-de-France. La RATP réagit en supprimant les fiches que l’internaute lui fournissait en guise de preuves du dysfonctionnement. Celui-ci, considérant que cette action était insuffisante, informe l’UFC-Que choisir d’Ile-de-France du fâcheux incident. L’intervention de l’association conduit à une mesure plus radicale : faute de trouver une parade, la RATP ferme complètement le service, promettant de le remettre à disposition du public « dès que l’efficacité (des mesures) pour la sécurité du site auront été validées ».

Pour l’instant, le site est toujours "momentanément indisponible", et les usagers qui souhaitent un passe Navigo doivent se rendre chez un des commerçants dont la liste est donnée en ligne.

L’UFC-Que choisir n’envisage pas d’action en Justice. L’incident est tout de même fâcheux pour la RATP : au moment du lancement du passe Navigo, la RATP voulait demander cinq euros pour compenser les frais spécifiques à la garantie de confidentialité des informations personnelles données par les usagers... La CNIL (Commission nationale de l’informatique et des libertés) avait rappelé que l’anonymat devait pouvoir être conservé... gratuitement.

                 L’équipe AgoraVox