Bouygues Telecom condamné à une amende de 250 000 € par la CNIL pour non-respect de la sécurité des données de ses clients

Délibération n°SAN -2018-012 du 26 décembre 2018

La CNIL, dans sa délibération du 26 décembre 2018, rappelle que l’obligation de sécurité des données à caractère personnel qui pèse sur le responsable de traitement est une obligation de moyens, et non de résultat. Cependant, cette obligation peut devenir une obligation de moyens renforcée eu égard aux spécificités du système d’information choisi par le responsable de traitement.

La CNIL a été avisée, le 2 mars 2018, soit quelques mois avant l’entrée en application du RGPD, de ce que les données personnelles des clients de la marque B&You détenue par BOUYGUES TELECOM étaient insuffisamment protégées. La plateforme en cause était destinée à l’édition de factures et à la gestion administrative de leurs contrats par les clients de BOUYGUES TELECOM.

En effet, un simple incident technique avait permis de rendre librement accessibles l’ensemble des données à caractère personnel des clients de ladite marque. Une nouvelle fois, la simple modification d’une adresse URL entraînait l’accès à des contrats et factures de clients.

L’ampleur de la faille de sécurité était notable : elle a duré plus de deux ans, et concerné plus de deux millions d’utilisateurs.

Le 6 mars 2018, la société BOUYGUES TELECOM, conformément à ses obligations, a notifié la faille de sécurité à la CNIL. Une mission de contrôle par les agents de la CNIL s’en est suivie dans les locaux de la société BOUYGUES TELECOM.

Au visa de l’article 34 ancien de la Loi informatique et libertés, lequel dispose « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès », la formation restreinte de la CNIL a donc condamné la société BOUYGUES TELECOM à une amende de 250 000 € au motif qu’elle avait gravement manqué à la sécurité des données à caractère personnel de ses clients.

Il ressort de cette décision que cette vulnérabilité du système était liée à un simple oubli de réactivation de la fonction d’authentification du client, suite à une opération de tests suivant la fusion de bases de données clients B&You et de clients BOUYGUES TELECOM.

Soulignons que la CNIL a retenu, pour fixer le montant de l’amende administrative, la grande réactivité de la société BOUYGUES TELECOM, laquelle a, dès le 5 mars 2018, mis en place de nombreuses mesures afin d’empêcher l’accès aux données, sans avoir identifié l’origine de la faille. Dès le 9 mars, la CNIL a pu constater qu’il était désormais impossible d’accéder librement aux données.

Ainsi, La CNIL rappelle à la faveur de cette décision, que l’obligation de sécurité pesant sur le responsable de traitement est une obligation de moyens, et non de résultat. Elle précise notamment :

« La formation restreinte estime dès lors que, si l’oubli de réactiver le code rendant nécessaire l’authentification des utilisateurs sur le site web de la société est effectivement une erreur humaine, dont la société ne peut se prémunir totalement, le fait de ne pas avoir mis en œuvre, pendant plus de deux années, les mesures efficaces permettant de découvrir cette erreur constitue une violation des obligations imposées par l’article 34 susvisé. Des mesures de revue automatisée du code adaptées aux spécificités du système d’information hérité et une revue manuelle de la partie du code en charge de l’authentification auraient permis de découvrir la vulnérabilité et d’y remédier.

La formation restreinte considère, par conséquent, que la société n’a pas porté à la base en question l’attention nécessaire pour assurer la sécurité des données personnelles traitées. »

Le manquement à l’article 34 de la Loi informatique et libertés est donc constitué, la société BOUYGUES TELECOM n’ayant pas mis en œuvre les moyens suffisants qui s’imposaient compte tenu de la spécificité du système d’information choisi qui aurait mérité des mesures de revue plus adaptées.

A rapprocher :  Article 34 de la Loi informatique et libertés

Sommaire

Autres articles

some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Blocage de sites proposant des produits contrefaisants
En cas d’atteinte à une marque, le titulaire de celle-ci peut solliciter des mesures de blocage d’accès à des sites internet auprès des FAI sur le fondement de l’article 6-I-8 de la LCEN.