La Cnil sanctionne la faible sécurité de B&You de Bouygues Telecom
PublicitéEn modifiant une URL, n'importe qui pouvait accéder aux données privées d'autres clients de B&You, opérateur low cost de Bouygues Telecom. La Cnil a sanctionné ce manquement d'une amende de 250 000 euros. La condamnation aurait pu être plus lourde dans le cas du RGPD.
La Cnil multiplie les contrôles et sanctions depuis quelques mois. Cette fois, c'est au tour de Bouygues Telecom de se voir infliger une amende par le régulateur de la vie privée. L'opérateur télécoms devra ainsi verser 250 000 euros pour avoir « manqué à son obligation d'assurer la sécurité des données personnelles des utilisateurs de son site, conformément à l'article 34 de la loi Informatique et Libertés ».
L'affaire remonte à mars 2018 lorsque la CNIL reçoit un signalement (de la part de notre confrère Zataz) l'informant d'un problème de sécurité permettant d'accéder librement à des données personnelles de clients de la marque low cost de l'opérateur, B&You, en modifiant simplement une adresse URL. « Ce défaut de sécurité a impacté les données de plus de deux millions de clients B&You pendant plus de deux ans. Après en avoir été informé, l'opérateur a rapidement corrigé la vulnérabilité et les données personnelles des clients n'étaient plus librement accessibles », a précisé l'organisme public dans un communiqué.
Un oubli de Bouygues Telecom qui aurait pu lui coûter encore plus cher
L'amende de 250 000 euros apparait mesurée par rapport aux faits d'après la CNIL. « Le défaut de sécurité trouvait son origine dans l'oubli de réactiver sur le site, après une phase de test, la fonction d'authentification à l'espace client qui avait été désactivée pour les seuls besoins de ces tests. Elle [la CNIL] a estimé néanmoins qu'il appartenait à la société d'être particulièrement vigilante quant à l'effectivité de son mécanisme d'authentification, compte tenu de son choix de ne pas mettre en place de mesure de sécurité complémentaire. La formation restreinte a tenu compte de la grande réactivité de l'opérateur dans la résolution de l'incident de sécurité ainsi que des nombreuses mesures mises en place par la société pour limiter ses conséquences. La sanction prononcée par la formation restreinte concerne des faits s'étant entièrement déroulés avant l'entrée en application du règlement européen sur la protection des données personnelles. »
Article rédigé par
Dominique Filippone, Chef des actualités LMI
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire