Données mal protégées : la CNIL inflige 250 000 euros d'amende à Bouygues Telecom

Alexandre Boero
Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.
Publié le 27 décembre 2018 à 15h11
Cnil logo

Bouygues Telecom a été sanctionné par la CNIL, qui accuse l'opérateur de ne pas avoir suffisamment protégé les données des clients de sa marque B&You.

Réunie en formation restreinte, la Commission nationale de l'informatique et des libertés (CNIL) a décidé de taper du poing sur la table en annonçant avoir infligé à Bouygues Telecom, ce jeudi 27 décembre, une amende de 250 000 euros. L'autorité administrative indépendante dirigée par Isabelle Falque-Pierrotin rapporte que l'opérateur a manqué à son obligation de sécurisation des données personnelles des utilisateurs de la marque B&You.

Plus de 2 millions de clients touchés

En mars 2018, la CNIL avait été alertée de l'existence d'un incident de sécurité qui avait pour conséquence de rendre librement accessibles les données personnelles de clients B&You, la marque « low-cost » de Bouygues Telecom. L'incident avait entraîné un contrôle de la Commission. Et ce dernier avait alors permis de confirmer une réelle vulnérabilité permettant d'accéder à des informations sensibles comme des contrats et factures de clients B&You, par la simple modification d'une URL sur le site web de l'opérateur Bouygues Telecom.

Cette faille a touché plus de 2 millions de clients B&You, sur une période de plus de deux ans. La CNIL a cependant reconnu qu'après s'en être rendu compte, Bouygues a « rapidement corrigé la vulnérabilité et les données personnelles des clients n'étaient plus librement accessibles. »

Le mécanisme d'authentification désactivé pendant une phase de test

La Commission a livré quelques informations complémentaires sur la faille, qui résultait d'un oubli de réactiver sur le site, après une phase de test, la fonction d'authentification à l'espace client, qui avait été préalablement désactivée pour mener à bien ces tests. La CNIL a rappelé que Bouygues Telecom aurait dû être bien plus vigilant sur son mécanisme d'authentification.

L'opérateur s'en sort bien, pécuniairement, puisque le règlement européen sur la protection des données personnelles (RGPD) n'est entré en vigueur qu'après les faits. Il y a quelques jours, c'est Uber qui avait été sanctionné par la CNIL. Mais la société de VTC a aussi échappé au RGPD.

Alexandre Boero
Par Alexandre Boero
Journaliste-reporter, responsable de l'actu
XLinkedIn

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Facebook
X
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles