CNIL : une amende de 250.000 euros infligée à Bouygues pour ses lacunes en termes de protections des données

Bouygues Telecom a été pesé dans la balance de la CNIL, et a été jugé insuffisant sur le dossier de la protection des données personnelles de certains de ses clients. L’opérateur téléphonique vient ainsi se voir infliger une amende d’un montant total de 250.000 euros par la Commission nationale de l’informatique et des libertés, pour avoir manqué de vigilance dans la protection des données des plus de deux millions de clients de son offre low-cost B&You, note FranceInfo.

Une amende dont le montant reste faible. Et pour cause, les faits reprochés à Bouygues ont été constatés avant l’entrée en vigueur du RGPD (Règlement Européen sur la Protection des Données personnelles). S’ils avaient été pointés par la CNIL après l’entée en application dudit règlement, ce sont jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires de Bouygues qui auraient pu être demandés par le régulateur français. Dans cette affaire, Bouygues se serait toutefois montré très réactif, assure la CNIL dans un rapport publié ce jeudi 27 décembre.

Insuffisamment protecteur vis-à-vis des données personnelles de ses clients, Bouygues Telecom est condamné par la CNIL à verser une amende d’un montant de 250.000 euros.

On y apprend que l’enquête de la CNIL a été déclenchée en mars dernier, suite à un signalement « d’un incident de sécurité qui conduisait à rendre librement accessibles les données personnelles de clients de la marque B&You« , lit-on. Une violation de données notifiée à la CNIL par Bouygues Telecom dans les jours suivants, pointe le communiqué, qui précise qu’un contrôle a par la suite été réalisé dans les locaux mêmes de l’opérateur.

Un défaut de sécurité ayant impacté les données de plus des plus de 2 millions de clients B&You

« Ce contrôle a permis de confirmer l’existence d’une vulnérabilité permettant d’accéder à des contrats et factures de clients B&You par la simple modification d’une adresse URL sur le site web de Bouygues Telecom« , apprend-on.

L’apparition de cette faille de sécurité aurait été causée par un simple oubli. Durant une période de tests menée sur le site de l’opérateur par ses services techniques, la fonction d’authentification à l’espace client avait en effet été brièvement désactivée, elle le serait restée par mégarde, assure la CNIL, qui a néanmoins estimé « qu’il appartenait à la société d’être particulièrement vigilante quant à l’effectivité de son mécanisme d’authentification« . D’autant que le groupe a choisi de « ne pas mettre en place de mesure de sécurité complémentaire » sur son portail, poursuit l’organisme.

Comme évoqué plus haut, la Commission insiste cependant sur « la grande réactivité » de Bouygues dans cette affaire, et relève en outre que de « nombreuses mesures » ont été prises par l’opérateur pour « limiter ses conséquences » de l’incident.