Amende de 250.000 euros : la Cnil sanctionne Bouygues Télécom

 |   |  384  mots
(Crédits : CHARLES PLATIAU)
L'autorité française de protection des données personnelles, la Cnil, a infligé une amende de 250.000 euros à l'opérateur Bouygues Télécom pour "manquement à la sécurité des données clients", a annoncé l'instance jeudi.

Les faits reprochés concernent un incident de sécurité sur "les données de plus de deux millions de clients B&You", les forfaits d'entrée de gamme, accessibles pendant plus de deux ans via un simple changement d'adresse internet sur le site de Bouygues Télécom, a précisé dans un communiqué la Cnil, saisie de ce dossier en mars.

Un contrôle, réalisé dans la foulée du signalement, "a permis de confirmer l'existence d'une vulnérabilité permettant d'accéder à des contrats et factures" des clients concernés, précise la Cnil, qui ajoute que, "après en avoir été informé, l'opérateur a rapidement corrigé la vulnérabilité et les données n'étaient plus librement accessibles".

"Aucune donnée sensible n'a été exposée"

Du côté de l'opérateur, on ne conteste pas la "vulnérabilité" et on "prend acte de la décision de la Cnil".

"Après enquête, il apparaît que les données n'ont pas été utilisées par une personne extérieure", a-t-on précisé chez Bouygues Telecom, "aucune donnée sensible n'a été exposée".

L'opérateur précise par ailleurs que les clients B&You concernés par l'incident "clos depuis son signalement", sont ceux ayant souscrit un abonnement "avant décembre 2014".

La Commission a imputé la vulnérabilité à une erreur humaine, parlant d'un "oubli sur le site, après une phase de test, la fonction d'authentification à l'espace client qui avait été désactivée pour les seuls besoins du test".

La Cnil a dit avoir "tenu compte de la grande réactivité de l'opérateur dans la résolution de l'incident de sécurité ainsi que des nombreuses mesures mises en place par la société pour limiter ses conséquences".

Le pouvoir de sanction de la Cnil a été renforcé par la loi de 2016 pour la protection des données personnelles, le plafond des amendes jusque-là fixé à 150.000 euros passant à 3 millions d'euros.

Le nouveau règlement européen sur la protection des données (RGPD) entré en vigueur le 25 mai, ne concerne donc pas ce cas qui lui est antérieur. Il donne un pouvoir de sanction encore accru, puisque les pénalités pourront atteindre jusqu'à 20 millions d'euros et 4% du chiffre d'affaires.

(avec agences)

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :