BOUYGUES TELECOM condamné à une amende de 250 000 € par la CNIL pour non-respect de la sécurité des données de ses clients

Délibération n°SAN -2018-012 du 26 décembre 2018

La CNIL, dans sa délibération du 26 décembre 2018, rappelle que l’obligation de sécurité des données à caractère personnel qui pèse sur le responsable de traitement est une obligation de moyens, et non de résultat. Cependant, cette obligation peut devenir une obligation de moyens renforcée eu égard aux spécificités du système d’information choisi par le responsable de traitement.

La CNIL a été avisée, le 2 mars 2018, soit quelques mois avant l’entrée en application du RGPD, de ce que les données personnelles des clients de la marque B&You détenue par BOUYGUES TELECOM étaient insuffisamment protégées. La plateforme en cause était destinée à l’édition de factures et à la gestion administrative de leurs contrats par les clients de BOUYGUES TELECOM.

En effet, un simple incident technique avait permis de rendre librement accessibles l’ensemble des données à caractère personnel des clients de ladite marque. Une nouvelle fois, la simple modification d’une adresse URL entraînait l’accès à des contrats et factures de clients.

L’ampleur de la faille de sécurité était notable : elle a duré plus de deux ans, et concerné plus de deux millions d’utilisateurs.

Le 6 mars 2018, la société BOUYGUES TELECOM, conformément à ses obligations, a notifié la faille de sécurité à la CNIL. Une mission de contrôle par les agents de la CNIL s’en est suivie dans les locaux de la société BOUYGUES TELECOM.

Au visa de l’article 34 ancien de la Loi informatique et libertés, lequel dispose « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès », la formation restreinte de la CNIL a donc condamné la société BOUYGUES TELECOM à une amende de 250 000 € au motif qu’elle avait gravement manqué à la sécurité des données à caractère personnel de ses clients.

Il ressort de cette décision que cette vulnérabilité du système était liée à un simple oubli de réactivation de la fonction d’authentification du client, suite à une opération de tests suivant la fusion de bases de données clients B&You et de clients BOUYGUES TELECOM.

Soulignons que la CNIL a retenu, pour fixer le montant de l’amende administrative, la grande réactivité de la société BOUYGUES TELECOM, laquelle a, dès le 5 mars 2018, mis en place de nombreuses mesures afin d’empêcher l’accès aux données, sans avoir identifié l’origine de la faille. Dès le 9 mars, la CNIL a pu constater qu’il était désormais impossible d’accéder librement aux données.

Ainsi, La CNIL rappelle à la faveur de cette décision, que l’obligation de sécurité pesant sur le responsable de traitement est une obligation de moyens, et non de résultat. Elle précise notamment :

« La formation restreinte estime dès lors que, si l’oubli de réactiver le code rendant nécessaire l’authentification des utilisateurs sur le site web de la société est effectivement une erreur humaine, dont la société ne peut se prémunir totalement, le fait de ne pas avoir mis en œuvre, pendant plus de deux années, les mesures efficaces permettant de découvrir cette erreur constitue une violation des obligations imposées par l’article 34 susvisé. Des mesures de revue automatisée du code adaptées aux spécificités du système d’information hérité et une revue manuelle de la partie du code en charge de l’authentification auraient permis de découvrir la vulnérabilité et d’y remédier.

La formation restreinte considère, par conséquent, que la société n’a pas porté à la base en question l’attention nécessaire pour assurer la sécurité des données personnelles traitées. »

Le manquement à l’article 34 de la Loi informatique et libertés est donc constitué, la société BOUYGUES TELECOM n’ayant pas mis en œuvre les moyens suffisants qui s’imposaient compte tenu de la spécificité du système d’information choisi qui aurait mérité des mesures de revue plus adaptées.

A rapprocher :  Article 34 de la Loi informatique et libertés

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…