Bouygues Telecom condamné à 250 000 € d’amende par la CNIL

La commission nationale informatique et libertés a prononcé une amende de 250 000 euros à l’encontre de l’opérateur Bouygues Telecom pour un manquement relatif à la sécurité des données personnelles de 2 millions de clients à son offre B&You. Leurs contrats et factures étaient accessibles en ligne via un simple changement d’URL

Une erreur de Bouygues Telecom lié à un « oubli de réactiver le site après test » a mis à l’air libre les contrats et factures de 2 millions de clients B&You pendant 2 ans. (crédit : D.R.)

La CNIL multiplie les contrôles et sanctions depuis quelques mois. Cette fois, c’est au tour de Bouygues Telecom de se voir infliger une amende par la commission nationale informatique et libertés. L’opérateur télécoms devra ainsi verser 250 000 euros pour avoir « manqué à son obligation d’assurer la sécurité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés ». 

L’affaire remonte à mars 2018 lorsque la CNIL reçoit un signalement l’informant d’un problème de sécurité permettant d’accéder librement à des données personnelles de clients de la marque low cost de l’opérateur, B&You, en modifiant simplement une adresse URL. « Ce défaut de sécurité a impacté les données de plus de deux millions de clients B&You pendant plus de deux ans. Après en avoir été informé, l’opérateur a rapidement corrigé la vulnérabilité et les données personnelles des clients n’étaient plus librement accessibles », a précisé l’organisme public dans un communiqué.

Un oubli de Bouygues Telecom qui aurait pu lui coûter encore plus cher

L’amende de 250 000 euros apparait mesurée par rapport aux faits d’après la CNIL. « Le défaut de sécurité trouvait son origine dans l’oubli de réactiver sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les seuls besoins de ces tests. Elle [la CNIL] a estimé néanmoins qu’il appartenait à la société d’être particulièrement vigilante quant à l’effectivité de son mécanisme d’authentification, compte tenu de son choix de ne pas mettre en place de mesure de sécurité complémentaire. La formation restreinte a tenu compte de la grande réactivité de l’opérateur dans la résolution de l’incident de sécurité ainsi que des nombreuses mesures mises en place par la société pour limiter ses conséquences. La sanction prononcée par la formation restreinte concerne des faits s’étant entièrement déroulés avant l’entrée en application du règlement européen sur la protection des données personnelles. »

chevron_left
chevron_right