Download_on_the_App_Store_Badge_FR_RGB_blk_100517

Le gendarme de la vie privée révèle une faille de sécurité qui a touché 2,5 millions de clients de Bouygues Telecom et inflige une amende de 250.000 € à l'opérateur

Le gendarme de la vie privée révèle une faille de sécurité qui a touché 2,5 millions de clients de Bouygues Telecom et inflige une amende de 250.000 € à l'opérateur
© Flickr/Andri Koolme

La Commission nationale de l’informatique et des libertés (Cnil) — le gendarme de votre vie privée en ligne — a infligé une amende de 250.000 euros à Bouygues Telecom pour une faille de sécurité des données de 2,5 millions de clients B&You, son forfait mobile sans engagement.

Pendant plus de deux ans, cette faille de sécurité rendait potentiellement accessible le nom, le prénom, la date de naissance, l'adresse de courrier électronique, l'adresse physique, le numéro de téléphone mobile des clients, explique la formation restreinte de la Cnil dans sa délibération.

"La formation restreinte de la CNIL a prononcé une sanction pécuniaire d'un montant de 250.000 euros, considérant que la société avait manqué à son obligation d'assurer la sécurité des données personnelles des utilisateurs de son site", annonce-telle dans un communiqué.

Contactée, la Cnil nous précise que 10 sanctions pécuniaires ont été prononcées en 2018 incluant Bouygues Telecom.

Cette sanction ne pouvait pas dépasser les 3 millions d'euros. Les faits se sont déroulés avant l'entrée en application du règlement européen sur la protection des données personnelles (RGDPD).

En mars 2018, la Cnil a reçu un signalement l'informant de l'existence d'un incident de sécurité, rendant librement accessibles les données personnelles de clients de la marque B&You, détenues par Bouygues Telecom.

Lors d'un contrôle, la Cnil a constaté que la simple modification d'une adresse URL sur le site web de Bouygues Telecom permettait d'accéder à des contrats et factures de clients B&You.

Bouygues Telecom a expliqué que la vulnérabilité trouvait son origine dans la fusion des marques Bouygues Telecom et B&You et des systèmes informatiques correspondants, en 2015.

Après en avoir été informé, l'opérateur a rapidement corrigé l'erreur et les données personnelles des clients n'étaient plus librement accessibles.

La décision de la Cnil est susceptible de faire l'objet d'un recours devant le Conseil d'État dans un délai de deux mois à compter de sa notification.

Découvrir plus d'articles sur :