FILTERS
RESET
  1. Home
  2. News & events
technologie de l'information
Share
LinkedIn

Insuffisance des mesures de sécurité des données clients : Bouygues Télécom condamné par la CNIL

January 08, 2019
by Dan Scemama,
Philippe Debry
Subscribe to all the latest news

La société Bouygues Télécom a notamment pour activité d’éditer et de gérer son site web www.bouyguestelecom.fr et de mettre sur cette plateforme à disposition de ses clients un accès à leur espace personnel en vue d’éditer des documents administratifs liés à leur contrat.

En mars 2018, la CNIL est informée de l’existence d’une faille de sécurité sur son site web concernant plus de deux millions de personnes permettant d’accéder aux données à caractère personnel de ses clients au moyen d’adresses URL ayant une structure identique. En effet, n’importe quel internaute pouvait en inscrivant l’adresse URL https://www.bouyguestelecom.fr/archived/index/printcontract/archived_id/X et en remplaçant « X » par différents nombres entiers, accéder aux données personnelles renseignées par les clients sur leur contrat de souscription (par exemple, leur nom, prénom, date de naissance, adresse de courrier électronique etc.).

Selon la société Bouygues Télécom, cette faille de sécurité avait pour origine la fusion des systèmes informatiques des sociétés Bouygues Télécom et B&You, à cette occasion, le code informatique rendant nécessaire l’authentification lors de l’accès au site web de Bouygues Télécom n’avait pas été réactivé.

La formation restreinte de la CNIL se prononce alors sur le manquement de Bouygues Télécom à son obligation d’assurer la sécurité et la confidentialité des données personnelles de ses clients en sa qualité de responsable de traitement.

En premier lieu, elle estime que Bouygues Télécom a fait le choix de ne pas mettre en place des mesures complémentaires à l’authentification de ses clients de son site web, ce choix a fait peser sur elle une obligation particulièrement renforcée de vigilance à l’égard de cette unique mesure de sécurité par authentification.

En second lieu, selon la formation restreinte, si une revue manuelle de l’ensemble des logins de codes informatique du site web aurait été disproportionnée au regard du nombre de lignes le composant, la revue manuelle du code uniquement sur sa partie relative au mécanisme d’authentification aurait, dans ce cas précis, été nécessaire.

 

La CNIL condamne Bouygues Télécom
Pour lire l'intégralité de l'article, cliquer ici
Tags
CNIL
données à caractère personnel
faille de sécurité
Contact us
close
*Required fields

Read the Privacy Policy

CAPTCHA

This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.

close
*Required fields
CAPTCHA

This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.