La CNIL (Commission nationale de l’informatique et des libertés) a condamné l’opérateur Bouygues Telecom à 250 000 euros d’amende pour un manquement à la sécurité des données personnelles de plus de deux millions de clients de l’opérateur low-cost, B&You. Leurs factures et contrats étaient notamment accessibles pendant plus de 2 ans via une simple modification d’adresse sur le site Bouygues Telecom.
Concrètement, il était possible de connaître des informations personnelles de clients B&You en changeant simplement une URL sur le site internet Bouygues Telecom. D’après la CNIL, l’opérateur a rapidement réagi et corrigé ce manquement.
Sommaire
Bouygues Telecom : 250 000 euros d’amende pour cette erreur
Cette affaire remonte à mars 2018 lorsque la CNIL reçut un signalement lui indiquant qu’il était possible d’accéder librement à des données confidentielles de clients B&You en changeant simplement une adresse URL sur le site de l’opérateur.
Bouygues Telecom a précisé que cet incident concernait les clients B&You ayant souscrit un abonnement avant décembre de l’année 2014. L’opérateur a également souligné que les données personnelles n’ont pas été exploitées par une tierce personne.
Selon la Commission, cette vulnérabilité provient d’une erreur humaine. Elle évoque notamment un oubli sur le site : la fonction d’authentification sur l’espace client ayant été désactivée après une phase de test.
Après avoir été informé, Bouygues Telecom a rapidement réagi afin de résoudre cet incident et pour limiter ses conséquences, une grande réactivité tenue compte par la CNIL.
CNIL : un pouvoir de sanction plus important
La loi de 2016 (celle relative à la protection des données personnelles) a accentué le pouvoir de sanction de la Commission nationale de l’informatique et des libertés. Le plafond des amendes est passé de 150 000 à 3 millions d’euros.
Concernant le RGPD (règlement européen sur la protection des données) entré en vigueur le 25 mai 2018, celui-ci ne concerne pas cette affaire qui a eu lieu avant cette date.
