Le 1er décembre dernier, Alex A.*, informaticien, connecte à son ordinateur un disque dur externe qu'il vient d'acheter. Le jeune homme de 23 ans s'est rendu dans la filiale Fust de la gare centrale de Zurich. Il a porté son choix sur un Sandisk Extreme Portable SSD, avec une capacité de stockage d'un téraoctet, au prix de 99,95 francs.
Sauf qu'au moment de connecter sa nouvelle acquisition, surprise! Le support contient des données d'un homme âgé qu'il ne connaît pas, dont des photos de nus et des portraits en tenue de femme. «J'ai vu les dossiers et je me suis dit: hé, qu'est-ce que c'est?», raconte Alex A., qui étudie actuellement la science des données à la Haute école spécialisée de Suisse orientale (OST).
Données sensibles et intimes
Le disque contient des dossiers avec des photos et des vidéos privées, diverses lettres, des certificats médicaux, des copies de carte d'identité, des extraits de compte, des déclarations d'impôts, des entrées de journal intime et des e-mails concernant des affaires judiciaires. Au total, ce sont près de 15 gigaoctets de données personnelles qui se sont retrouvées entre les mains d'Alex A. Elles appartiennent à un homme de 80 ans, habitant la région de Zurich. Sur certaines images, son pénis est même visible.
«Quand j'ai regardé les images, j'ai été choqué, affirme Alex A. Et si un enfant avait acheté ce disque dur?» Théoriquement, le magasin Fust aurait ainsi été punissable d'avoir remis des contenus pornographiques à des mineurs. Pour Alex A., il aurait pu être encore plus embêtant de remettre ce disque en cadeau.
«C'est du gâchis»
L'informaticien a d'abord supposé qu'un client avait acheté la mémoire externe, pour brièvement l'utiliser et la retourner au magasin. Dans un tel cas, Fust aurait été dans le tort de vendre un disque dur à un nouveau client sans le vérifier. L'objet peut contenir un logiciel malveillant qui pourrait endommager l'appareil de l'acheteur ou l'exposer à un risque d'abus de données.
Un coup de fil à l'octogénaire concerné éclaire la situation. L'homme explique qu'il n'a pas acheté de disque dur chez Fust. Au lieu de cela, il a récemment voulu y faire réparer son vieil ordinateur, mais cela n'a pas été possible. Il a donc acheté un nouvel appareil et a chargé Fust de transférer les données et d'éliminer l'ancien ordinateur.
Visiblement, un collaborateur de Fust a utilisé le disque dur externe du magasin pour effectuer le transfert – et l'a ensuite remis en vente, sans effacer les données. Ces dernières se sont non seulement retrouvées chez Alex A, mais elles ont en plus été perdues par l'octogénaire qui déclare: «C'est du gâchis.»
«Cela ne doit pas arriver»
L'informaticien, qui se serait bien passé d'une telle mésaventure, s'indigne: «Il est scandaleux et inacceptable que des données privées soient transmises à des tiers après une réparation.» Pendant une prestation de service, Fust est entièrement responsable de la protection des données des clients. Il manque apparemment un processus interne de protection.
Le détaillant, qui fait partie du groupe Coop depuis 2007, souligne que l'entreprise prend la situation «très au sérieux»: «Cette procédure ne correspond clairement pas à nos directives et processus internes. Cela ne doit pas se produire», écrit Sabine Weber, assistante de la direction de l'entreprise.
Fust a immédiatement mis en œuvre différentes mesures pour s'assurer qu'une telle situation ne se reproduise plus. «Il s'agit notamment d'une sensibilisation immédiate et d'une nouvelle formation des collaborateurs.»
Le détaillant a en outre pris contact avec l'homme de 80 ans dont les données se trouvaient sur le disque dur. «Nous avons présenté nos excuses en bonne et due forme», déclare Sabine Weber de Fust. Elle précise qu'il s'agit d'un cas isolé.
*Nom connu de la rédaction
