Bouygues Telecom se voit infliger 250.000€ d’amende par la CNIL pour manquement à la sécurité des données de ses clients

Ce mercredi 26 décembre, la CNIL, la commission nationale de l’informatique et des libertés, a prononcé une sanction de 250 000€ à l’encontre de Bouygues Telecom pour avoir laissé des données clients facilement accessibles durant deux ans.

L’affaire remonte au mois de mars de cette année, à ce moment là, la CNIL reçoit un signalement l’informant de l’existence d’un incident de sécurité qui permettait d’accéder librement aux données personnelles des clients de B&You de Bouygues Telecom, qui a également notifié la commission quelques jours plus tard.

Suite à ces informations, la CNIL entreprend de contrôler les locaux de l’opérateur. Contrôle qui a permis de confirmer cette vulnérabilité permettant de récupérer les contrats et factures des clients en modifiant simplement l’URL sur le site web de Bouygues Telecom et qui est restée pendant plus de deux ans. Cette faille a été corrigée rapidement et les données personnelles des clients ne sont plus accessibles librement.

La formation restreinte de la CNIL qui a ordonné cette sanction a constaté que cette brèche de sécurité était liée à l’oubli de réactiver la fonction d’authentification à l’espace client après une phase de tests. Un oubli qui a donc réussi à tenir deux années sans que cela ne soit remarqué par les équipes de l’opérateur.

Compte tenu que l’opérateur a réagi rapidement pour limiter les conséquences de cet oubli, que de nombreuses mesures ont été prises pour limiter les conséquences et que les faits se sont entièrement déroulés avant la mise en application du RGPD, il est prononcé cette sanction de 250 000€.