Article publié par le journal « Le Parisien » le 27 décembre 2018.

La Cnil a condamné l’opérateur pour ne pas avoir suffisamment protégé les données de plus de deux millions de clients B & You.

L’autorité française de protection des données personnelles, la Cnil, a infligé une amende de 250 000 euros à Bouygues Télécom pour « manquement à la sécurité des données clients », a annoncé l’instance ce jeudi.

Les faits reprochés concernent un incident de sécurité sur « les données de plus de deux millions de clients B & You », accessibles pendant plus de deux ans via un simple changement d’adresse internet sur le site de Bouygues Télécom, a précisé dans un communiqué la Cnil, saisie de ce dossier en mars.

Dans le détail, il était possible de connaître des informations confidentielles d’utilisateurs de B & You (des contrats et factures) en modifiant une adresse URL sur le site web de Bouygues Telecom. L’opérateur a rapidement corrigé cette vulnérabilité, précise la Cnil.

L’entreprise a « insuffisamment sécurisé les données des utilisateurs » de son service.

 

Du côté de l’opérateur, on ne conteste pas la « vulnérabilité » et on « prend acte de la décision de la Cnil ».

« Après enquête, il apparaît que les données n’ont pas été utilisées par une personne extérieure », a-t-on précisé chez Bouygues Telecom, « aucune donnée sensible n’a été exposée ».

 

L’opérateur précise par ailleurs que les clients B & You concernés par l’incident « clos depuis son signalement », sont ceux ayant souscrit un abonnement « avant décembre 2014 ».

 

La Commission a imputé la vulnérabilité à une erreur humaine, parlant d’un « oubli sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les seuls besoins du test ».

 

Le pouvoir de sanction de la Cnil renforcé

 

La Cnil a dit avoir « tenu compte de la grande réactivité de l’opérateur dans la résolution de l’incident de sécurité ainsi que des nombreuses mesures mises en place par la société pour limiter ses conséquences ».

Le pouvoir de sanction de la Cnil a été renforcé par la loi de 2016 pour la protection des données personnelles, le plafond des amendes jusque-là fixé à 150 000 euros passant à 3 millions d’euros.

Le nouveau règlement européen sur la protection des données (RGPD) entré en vigueur le 25 mai, ne concerne donc pas ce cas qui lui est antérieur. Il donne un pouvoir de sanction encore accru, puisque les pénalités pourront atteindre jusqu’à 20 millions d’euros et 4 % du chiffre d’affaires.

La semaine dernière, c’est Uber qui a été sanctionné avoir « insuffisamment sécurisé les données de ses utilisateurs ».

LIRE AUSSI >En quatre mois, la Cnil a recensé 33 millions de cas de violation de données personnelles