publicité

Sanction Cnil : Bouygues Telecom n'a pas sécurisé les données de 2 millions de clients


Technologie : L'opérateur télécoms doit s’acquitter d'une sanction de 250.000 euros, un record, pour avoir laissé accessibles en ligne les contrats et factures de clients B&You.

Chez Bouygues Telecom le principe de low cost de sa marque B&You ne s'appliquait pas qu'au support et au service. La sécurité des données des clients étaient également réduite au minimum. Voire inexistante. C'est en tout cas le constat de la Cnil qui vient d'infliger une sanction de 250.000 euros à l'encontre de la société après avoir constaté des manquements sur ce point.


"Sous l'empire du RGPD, on peut penser que le montant de cette sanction aurait été différent" assure t-on du côté de la Cnil.

Car l'affaire débute par un signalement effectué en mars dernier, soit deux mois avant l'entrée en vigueur du RGPD. Un informateur mentionne à la Cnil l'existence d'un incident de sécurité dans le système d'information de Bouygues Telecom qui permet de "rendre librement accessibles les données personnelles de clients de la marque B&You" mentionne la Cnil par communiqué.

Suite à un contrôle effectué par la Commission, il est confirmé que la vulnérabilité permet "d'accéder à des contrats et factures de clients B&You par la simple modification d'une adresse URL sur le site web de Bouygues Telecom".

Les données de plus de deux millions de clients B&You ont ainsi été accessibles en ligne "pendant plus de deux ans". La faille de sécurité provenait du fait que l'administrateur du site Internet avait oublié de réactiver sur le site, après une phase de test, la fonction d'authentification à l'espace client qui avait été désactivée pour besoins du tests.

Suite au contrôle, l'opérateur a rapidement corrigé la vulnérabilité et les données personnelles des clients n'étaient plus librement accessibles. Une réactivité dont la Cnil a tenu compte dans la mise en place de la sanction. Une sanction qui fait suite au manquement de l'entreprise "à son obligation d'assurer la sécurité des données personnelles des utilisateurs de son site, conformément à l'article 34 de la loi Informatique et Libertés".

En juin dernier, la Cnil avait sanctionné au même tarif Optical Center (pour la seconde fois en 3 ans !) pour des faits identiques à ceux constatés chez Bouygues Telecom. C'est donc la seconde fois qu'un montant de 250.000 euros, un record, est infligé à une entreprise française par la Cnil.

Les plaintes à la Cnil suite à la mise en place du RGPD a littéralement explosé ces derniers mois.

A lire aussi :

Les 10 conseils de la Cnil pour protéger les données personnelles sur smartphone

S’appuyant sur les résultats d’une étude sur les usages des smartphones par les utilisateurs français, la Cnil formule 10...

Articles relatifs

Contenus sponsorisés

Contenus partenaires

Réagissez à l'article

Connectez vous ou Enregistrez-vous pour commencer la discussion
publicité