Protection des données : la Cnil inflige une sanction à Bouygues Telecom
La CNIL, en infligeant cette sanction à l'encontre de Bouygues Telecom, estime que l’opérateur n’a pas suffisamment protégé les données de plus de deux millions de clients B&You (sa marque low cost).
En effet, à l’occasion d’un contrôle effectué en mars dernier, la Commission a constaté qu'une faille de sécurité permettait à quiconque 'd'accéder à des contrats et factures de clients B&You par la simple modification d'une adresse URL sur le site web de Bouygues Telecom'.
Que s’est-il passé chez Bouygues Télécom ?
En mars 2018, la CNIL avait été alertée de l'existence d'un incident de sécurité qui avait pour conséquence de rendre librement accessibles les données personnelles de clients B&You. Cet incident avait entraîné un contrôle de la Commission et avait confirmé une réelle vulnérabilité permettant d'accéder à des informations sensibles, par la simple modification d'une URL sur le site web de l'opérateur Bouygues Telecom.
La Commission a livré quelques informations complémentaires sur la faille, qui résultait d'un oubli de réactiver sur le site, après une phase de test, la fonction d'authentification à l'espace client, qui avait été préalablement désactivée pour mener à bien ces tests. La CNIL a rappelé que Bouygues Telecom aurait dû être bien plus vigilant sur son mécanisme d'authentification mais a cependant imputé la vulnérabilité à une erreur humaine.
L’autorité administrative a ajouté avoir « tenu compte de la grande réactivité de l’opérateur dans la résolution de l’incident de sécurité ainsi que des nombreuses mesures mises en place par la société pour limiter ses conséquences ».
Des faits antérieurs à l’application du RGPD
La CNIL a aussi précisé que 'la sanction prononcée (...) concerne des faits s'étant entièrement déroulés avant l'entrée en application du règlement européen sur la protection des données personnelles (ndlr : RGPD) ». L’opérateur s’en sort donc plutôt bien pécuniairement, tout comme Uber, la société de VTC, qui a également été sanctionné par la CNIL dernièrement en échappant aux rouages du RGPD.
En effet, le texte européen prévoit quant à lui des sanctions pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial de l'entreprise en cas de manquements graves à la sécurité des données des utilisateurs.
Interrogée sur la date à laquelle le défaut de sécurité était apparu, la société a expliqué que la vulnérabilité trouvait son origine dans la fusion des marques Bouygues Telecom et B&You et des systèmes informatiques correspondants, en 2015.
