L’opérateur télécoms Bouygues Telecom est sanctionné d’une amende de 250 000 € par la Cnil pour avoir insuffisamment protégé les données des clients de son service B&You.
Fonction d’authentification supprimée lors d’un test
L’accès aux données des clients sur le site de l’opérateur télécoms provient d’une erreur humaine. La fonction d’authentification à l’espace client avait été désactivée lors d’une phase de test et n’avait pas été rétablie. La Cnil estime qu’il appartenait à l’opérateur d’être particulièrement vigilant quant à l’effectivité de son mécanisme d’authentification, compte tenu de son choix de ne pas mettre en place de mesure de sécurité complémentaire.
En mars 2018, la Cnil a été informée qu’il était possible d’accéder aux données personnelles de clients de la marque B&You. Dans les jours suivants, l’opérateur télécoms a notifié la violation de données à la Cnil.
Simple modification d’URL
Un contrôle a été réalisé par la Cnil dans les locaux de l’opérateur. Ce contrôle a confirmé l’existence d’une vulnérabilité permettant d’accéder à des contrats et factures de clients B&You par la simple modification d’une adresse URL sur le site web de Bouygues Telecom. Ce défaut de sécurité a impacté les données de plus de 2 millions de clients B&You pendant plus de deux ans. Après en avoir été informé, l’opérateur a rapidement corrigé la vulnérabilité et les données personnelles des clients n’étaient plus librement accessibles.
La Cnil a prononcé une sanction pécuniaire d’un montant de 250 000 €, considérant que la société avait manqué à son obligation d’assurer la sécurité des données personnelles des utilisateurs de son site. La Cnil a tenu compte de la grande réactivité de l’opérateur dans la résolution de l’incident de sécurité ainsi que des nombreuses mesures mises en place par la société pour limiter ses conséquences.
