Filtrer
Réinitialiser

Insuffisance des mesures de sécurité des données clients : Bouygues Télécom condamné par la CNIL

08 janvier 2019

La société Bouygues Télécom a notamment pour activité d’éditer et de gérer son site web www.bouyguestelecom.fr et de mettre sur cette plateforme à disposition de ses clients un accès à leur espace personnel en vue d’éditer des documents administratifs liés à leur contrat.

En mars 2018, la CNIL est informée de l’existence d’une faille de sécurité sur son site web concernant plus de deux millions de personnes permettant d’accéder aux données à caractère personnel de ses clients au moyen d’adresses URL ayant une structure identique. En effet, n’importe quel internaute pouvait en inscrivant l’adresse URL https://www.bouyguestelecom.fr/archived/index/printcontract/archived_id/X et en remplaçant « X » par différents nombres entiers, accéder aux données personnelles renseignées par les clients sur leur contrat de souscription (par exemple, leur nom, prénom, date de naissance, adresse de courrier électronique etc.).

Selon la société Bouygues Télécom, cette faille de sécurité avait pour origine la fusion des systèmes informatiques des sociétés Bouygues Télécom et B&You, à cette occasion, le code informatique rendant nécessaire l’authentification lors de l’accès au site web de Bouygues Télécom n’avait pas été réactivé.

La formation restreinte de la CNIL se prononce alors sur le manquement de Bouygues Télécom à son obligation d’assurer la sécurité et la confidentialité des données personnelles de ses clients en sa qualité de responsable de traitement.

En premier lieu, elle estime que Bouygues Télécom a fait le choix de ne pas mettre en place des mesures complémentaires à l’authentification de ses clients de son site web, ce choix a fait peser sur elle une obligation particulièrement renforcée de vigilance à l’égard de cette unique mesure de sécurité par authentification.

En second lieu, selon la formation restreinte, si une revue manuelle de l’ensemble des logins de codes informatique du site web aurait été disproportionnée au regard du nombre de lignes le composant, la revue manuelle du code uniquement sur sa partie relative au mécanisme d’authentification aurait, dans ce cas précis, été nécessaire.

Philippe Debry
Dan Scemama 

 

Sur la même thématique

Je souhaite être recontacté

close
*Champs obligatoires