Bouygues Telecom écope d’une amende de 250 000 € pour une faille de sécurité touchant 2 millions d’abonnés

Contexte. En mars 2018, la Commission nationale de l’informatique et des libertés de France a reçu un signalement "l’informant de l’existence d’un incident de sécurité qui conduisait à rendre librement accessibles les données personnelles de clients de la marque B&You" fait-elle savoir ce matin.

Un contrôle a par la suite été réalisé dans les locaux de l’opérateur confirmant l’existence d’une vulnérabilité. Cette dernière permettait en réalité d’accéder à des contrats et factures de clients B&You par la simple modification d’une adresse URL sur le site web de Bouygues Telecom. Au total, ce défaut de sécurité a impacté les données de plus de deux millions de clients B&You 

L’opérateur a fort heureusement corrigé cette faille très rapidement mais la formation restreinte de la CNIL a décidé de le sanctionner à hauteur de 250 000 euros, "considérant que la société avait manqué à son obligation d’assurer la sécurité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés."

La Commission a par ailleurs constaté que le défaut de sécurité "trouvait son origine dans l’oubli de réactiver sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les seuls besoins de ces tests." Elle a estimé néanmoins qu’il appartenait à la société d’être particulièrement vigilante quant à l’effectivité de son mécanisme d’authentification, compte tenu de son choix de ne pas mettre en place de mesure de sécurité complémentaire.