Bouygues Telecom : une amende de 250 000 euros pour une mauvaise sécurité des données clients

L’année 2018 se termine mal pour Bouygues Télécom. La Commission nationale de l’informatique et des libertés (CNIL) a annoncé ce jour avoir infligé une amende de 250 000 euros à l’opérateur pour avoir insuffisamment protégé les données de ses clients.

Dans un communiqué, la CNIL indique avoir été alertée en mars dernier d’une faille de sécurité qui permettait d’accéder librement aux données des clients ayant un forfait B&You, alors que cela ne devrait pas être le cas. Un contrôle a été réalisé dans les locaux de l’opérateur. Ce contrôle a permis de confirmer l’existence d’une vulnérabilité permettant d’accéder à des contrats et factures de clients B&You par la simple modification d’une adresse URL sur le site web de Bouygues Telecom. Ce défaut de sécurité a impacté les données de plus de deux millions de clients B&You pendant plus de deux ans. Après en avoir été informé, l’opérateur a rapidement corrigé la vulnérabilité et les données personnelles des clients n’étaient plus librement accessibles.

La CNIL estime que Bouygues Telecom a manqué à son obligation d’assurer la sécurité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés. C’est pour cette raison que la Commission lui a infligé une amende de 250 000 euros.

La CNIL souligne que la faille trouvait son origine dans l’oubli de réactiver sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les seuls besoins de ces tests. Elle retient au moins un point positif : Bouygues Telecom a été réactif pour corriger le tir.