Accéder au contenu principal

Bouygues Telecom sanctionnée par la Cnil

La formation restreinte de la Cnil a prononcé une sanction de 250.000 € à l'encontre de la société Bouygues Telecom pour avoir insuffisamment protégé les données de clients B&You.

La formation restreinte de la Cnil a prononcé une sanction de 250.000 € à l’encontre de la société Bouygues Telecom pour avoir insuffisamment protégé les données de clients B&You.

En mars 2018, la Cnil a reçu un signalement l’informant de l’existence d’un incident de sécurité qui conduisait à rendre librement accessibles les données personnelles de clients de la marque B&You, détenues par la société Bouygues Telecom. Dans les jours suivants, cette dernière a notifié la violation de données à la Cnil.
En effet, un contrôle a été réalisé dans les locaux de l’opérateur. Ce contrôle a permis de confirmer l’existence d’une vulnérabilité permettant d’accéder à des contrats et factures de clients B&You par la simple modification d’une adresse URL sur le site web de Bouygues Telecom. Ce défaut de sécurité a impacté les données de plus de deux millions de clients B&You pendant plus de deux ans. Après en avoir été informé, l’opérateur a rapidement corrigé la vulnérabilité et les données personnelles des clients n’étaient plus librement accessibles.
Par conséquent, le 26 décembre 2018, la formation restreinte de la Cnil a prononcé une sanction pécuniaire d’un montant de 250.000 €, considérant que la société avait manqué à son obligation d’assurer la sécurité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés.
La sanction prononcée par la formation restreinte concerne des faits s’étant entièrement déroulés avant l’entrée en application du règlement européen sur la protection des données personnelles.

– Communiqué de presse de la Cnil du 27 décembre 2018 – « BOUYGUES TELECOM : sanction pécuniaire pour manquement à la sécurité des données clients » – https://www.cnil.fr/fr/bouygues-telecom-sanction-pecuniaire-pour-manquement-la-securite-des-donnees-clients
– Délibération n° SAN-2018-012 de la formation restreinte de la Cnil du 26 décembre 2018 prononçant une sanction pécuniaire à l’encontre de la société BOUYGUES TELECOM – https://www.cnil.fr/fr/bouygues-telecom-sanction-pecuniaire-pour-manquement-la-securite-des-donnees-clients
– Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 34 – https://www.cnil.fr/fr/bouygues-telecom-sanction-pecuniaire-pour-manquement-la-securite-des-donnees-clients