Nos conseillers répondent
à vos questions
Ouvert aujourd'hui
Service privé fourni par DemarchesAdministratives.fr

Bouygues Télécom condamné par la CNIL pour manquement à la sécurité des données clients

Après Uber, c’est Bouygues Telecom qui vient d’être épinglé par la CNIL pour « manquement à la sécurité des données clients ». L’opérateur vient d’écoper d’une amende de 250 000 €. Qu’en est-il ?

La CNIL (Commission nationale informatique et libertés) prend très au sérieux la sécurité des données sur internet. Après la plateforme Uber, c’est l’opérateur Bouygues Télécom qui vient d’être sanctionné pour ne pas avoir suffisamment protégé les données de ses clients. Explications.

La CNIL met en évidence un incident de sécurité

Selon un communiqué de la Commission, « les données de plus de 2 millions de clients B&You » ont été exposées involontairement. Celles-ci étaient accessibles via un simple changement d’adresse sur le site de l’opérateur.

Après signalement de la faille de sécurité, un contrôle de la CNIL « a permis de confirmer l’existence d’une vulnérabilité permettant d’accéder à des contrats et factures » d’abonnés. Mais la Commission précise aussi qu’« après en avoir été informé, l’opérateur a rapidement corrigé la vulnérabilité et les données n’étaient plus librement accessibles ». Bouygues n’a pas contesté les faits et a reconnu la faille de sécurité tout en prenant « acte de la décision de la CNIL ».

Les données n’ont toutefois pas été piratées : « Après enquête, il apparaît que les données n’ont pas été utilisées par une personne extérieure ». L’opérateur a aussi précisé que les clients concernés étaient ceux ayant souscrit un abonnement « B&You » avant 2014 et que leurs données n’avaient pas été compromises.

La sanction tient compte de la « grande réactivité » de l’opérateur

Selon la CNIL, c’est une erreur humaine qui est à l’origine de la faille de sécurité de Bouygues Télécom, un « oubli sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les seuls besoins du test ». La Commission a par ailleurs déclaré avoir « tenu compte de la grande réactivité de l’opérateur dans la résolution de l’incident de sécurité ainsi que des nombreuses mesures mises en place par la société pour limiter ses conséquences ».

Si l’amende parait élevée, ce n’est rien en comparaison de ce qui pourra être mis en place dans le futur, car pour Bouygues comme pour Uber, les faits sont antérieurs à l’instauration du RGPD (Règlement européen pour la protection des données).

Celui-ci permettra à la CNIL d’infliger aux entreprises qui ne sécurisent pas assez les données de leurs clients des amendes allant jusqu’à 4 millions d’euros et 4 % de leur chiffre d’affaires.