Au mois de mars dernier, la CNIL avait reçu un signalement l’informant de l’existence d’un incident de sécurité qui conduisait à rendre librement accessibles les données personnelles de clients de la marque B&You détenues par l’opérateur Bouygues qui, quelques jours plus tard, a notifié la violation de données à la CNIL.

Un contrôle, réalisé dans les locaux de l’opérateur, a permis de confirmer l’existence d’une vulnérabilité permettant d’accéder à des contrats et factures de 2,18 millions de comptes de clients B&You, créés entre juillet 2011 et décembre 2014, par la simple modification d’une adresse URL sur le site bouyguestelecom.fr. Un défaut de sécurité qui a impacté les données de plus de deux millions de clients B&You pendant plus de deux ans et trois mois.

La formation restreinte de la CNILDélibération de la formation restreinte n° SAN-2018-012 du 26 décembre 2018 prononçant une sanction pécuniaire à l’encontre de la société Bouygues Télécom, J.O., 27 déc. 2018. a prononcé une sanction pécuniaire d’un montant de 250 000 euros au motif que la société avait manqué à l’obligation d’assurer « la sécurité des données personnelles des utilisateurs de son site » que lui impose l’article 34 de la loi Informatique et Libertés (rédaction loi n° 2004-801 du 6 août 2004) selon lequel « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès […] ».

Il a été relevé que le défaut de sécurité trouvait son origine dans « l’oubli » de réactiver sur le site, après une phase de test, la « fonction d’authentification » à l’espace client qui avait été désactivée pour les seuls besoins de ces tests mais elle a néanmoins estimé qu’il appartenait à la société d’être « particulièrement vigilante » quant à l’effectivité de son mécanisme d’authentification, compte tenu de son choix de « ne pas mettre en place de mesure de sécurité complémentaire ».

La CNIL indique, dans un communiqué, avoir « tenu compte de la grande réactivité » de l’opérateur dans la résolution de l’incident de sécurité ainsi que des nombreuses mesures mises en place par la société pour limiter ses conséquences, précisant que les faits se sont « entièrement déroulés avant l’entrée en application du règlement européen sur la protection des données personnelles ».