BFM Business

Bouygues Telecom condamné pour "manquement à la sécurité des données" d'abonnés B&You

-

- - Philippe Huguen - AFP

La Cnil a sanctionné l'opérateur de télécommunication à une amende de 250.000 euros pour vulnérabilité permettant d'accéder aux données des abonnés B&You.

L'autorité française de protection des données personnelles, la Cnil, a infligé une amende de 250.000 euros à l'opérateur Bouygues Télécom pour "manquement à la sécurité des données clients". Les faits reprochés concernent un incident de sécurité sur "les données de plus de deux millions de clients B&You", les forfaits d'entrée de gamme, accessibles pendant plus de deux ans via un simple changement d'adresse internet sur le site de Bouygues Télécom, a précisé dans un communiqué la Cnil, saisie de ce dossier en mars dernier.

Un contrôle, réalisé dans la foulée du signalement dans les locaux de l'opérateur, a confirmé "l'existence d'une vulnérabilité permettant d'accéder à des contrats et factures" des clients, précise la Cnil, qui ajoute que, "après en avoir été informé, l'opérateur a rapidement corrigé la vulnérabilité et les données n'étaient plus librement accessibles". 

Une erreur humaine rapidement corrigée

L'opérateur ne conteste pas la "vulnérabilité" et a pris "acte de la décision de la Cnil". "Après enquête, il apparaît que les données n'ont pas été utilisées par une personne extérieure", a précisé Bouygues Telecom qui signale que "aucune donnée sensible n'a été exposée". L'opérateur indique par ailleurs que les clients B&You concernés par l'incident "clos depuis son signalement", sont ceux ayant souscrit un abonnement "avant décembre 2014".

La Commission a imputé la vulnérabilité à une erreur humaine, parlant d'un "oubli sur le site, après une phase de test, la fonction d'authentification à l'espace client qui avait été désactivée pour les seuls besoins du test". La Cnil a dit avoir "tenu compte de la grande réactivité de l'opérateur dans la résolution de l'incident de sécurité ainsi que des nombreuses mesures mises en place par la société pour limiter ses conséquences".

C'est ce qui explique que l'amende n'est pas plus sévère. En effet, le pouvoir de sanction de la Cnil a été renforcé par la loi de 2016 pour la protection des données personnelles, le plafond des amendes peut atteindre 3 millions d'euros. Le nouveau règlement européen sur la protection des données (RGPD) entré en vigueur le 25 mai, ne concerne donc pas ce cas qui lui est antérieur. Il donne un pouvoir de sanction encore accru, puisque les pénalités pourront atteindre jusqu'à 20 millions d'euros et 4% du chiffre d'affaires.

Pascal Samama avec AFP