Quelques jours après avoir prononcé une sanction de 400 000 € contre la société Uber, la CNIL inflige une amende de 250 000 € cette fois à la société Bouygues Télécom pour « manquement à la sécurité des données clients ».
CNIL : Contrats et factures accessibles sans contrôle
Saisi en mars par le média spécialisé dans la cyber-sécurité Zataz, une enquète de l’autorité de protection des données a révélé que, pendant deux ans, plusieurs centaines de milliers de contrats et factures de deux millions de clients de la marque B&You étaient accessibles par une simple modification de l’adresse URL.
L’entreprise ne préviendra pas ses clients, estimant que l’incident de sécurité est clos depuis plusieurs mois, cette dernière ayant fait preuve selon la CNIL d’une grande réactivité.
Elle a constaté que le défaut de sécurité trouvait son origine dans l’oubli de réactiver sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les seuls besoins de ces tests.
Données personnelles : Une sanction hors RGPD
La sanction prononcée par la formation restreinte de la CNIL s’est fondé sur les manquements de Bouygues Telecom à son obligation d’assurer la sécurité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés.
De la mème façon que la sanction d’Uber, le montant de l’amende peut apparaitre clément dans la mesure où les faits se sont déroulés avant l’entrée en vigueur du Règlement Général pour la Protection des Données.