Rubrique Entreprises

Bouygues Télécom paie cher la faiblesse de son système de protection des données

Bouygues Télécom paie cher la faiblesse de son système de protection des données

Le jeudi 27 décembre, Bouygues Telecom a écopé d’une amende de 250 000 euros pour une faille très grave. En cause, une insuffisance de protection des données de plus de 2 millions de clients de B&You, l’une de ses marques. Cette condamnation de la Commission Nationale de l’Informatique et des Libertés intervient quelques mois après sa saisine.

Un incident de sécurité majeur

Tout est parti de la découverte d’une faille dans le système de protection des données personnelles des clients de Bouygues Telecom survenue en mars 2018. Elle a valu la saisine immédiate de la Commission Nationale de l’Informatique et des Libertés (CNIL) qui a aussitôt diligenté une enquête. Celle-ci s’est conclue par une inspection dans les locaux de Bouygues qui a permis de confirmer qu’il y a bien une faille dans le système de sécurité de l’opérateur.

Ce qui a été appelé un incident de sécurité par la CNIL est en fait une insuffisance de protection des données de 2 millions de clients de B&You. Cette faille part, en effet, du défaut de réinsertion d’une fonction de sécurité des données délicates sur le site de la marque.

L’incident est d’autant plus grave que n’importe qui, avec des connaissances basiques en informatique, pouvait accéder à toutes ces informations. Il aurait suffi pour cela de modifier l’URL pour sauter le verrou de l’identifiant et du mot de passe. C’est donc la grossièreté de la faute couplée au nombre très élevé des consommateurs concernés qui ont valu à Bouygues Telecom une amende de 250 000 euros infligée par la CNIL.

Une réaction rapide de la CNIL

La nouvelle, qui a été rendue publique il y a quelques jours, a rouvert des plaies non encore cicatrisées. Le scandale de la fuite de données de Facebook au profit de Cambridge Analytica est encore dans les mémoires. Il n’y a pas si longtemps, l’opinion publique apprenait que les données de près de 87 millions d’utilisateurs de Facebook avaient été divulguées à cette société Britannique. L’affaire avait créé une tôlée générale dont l’opinion publique se remet à peine.

Le cas de Bouygues Telecom a beau être différent, la simple évocation d’un potentiel risque de fuites de données a de quoi  interpeler les clients du géant français. La condamnation de la CNIL intervient donc au bon moment, notamment au regard de la quantité d’informations qui pourrait fuiter.

Des consommateurs exposés

Il s’agit entre autres des factures et des contrats des clients comportant l’essentiel des données personnelles telles que les nom et prénoms, la date de naissance,  les emails, les numéros de téléphone, les adresses postales et même des  détails de la consommation.

Tout cela représente pour les arnaqueurs du pain bénit et une manne pour le marché noir du piratage de données. Les 2 millions d’abonnés concernés constituaient donc des cibles potentielles de publicités suspectes, d’usurpation d’identité, d’arnaques ou de campagnes d’hameçonnage.

Quand, à tout cela, s’ajoute le fait que la faille court depuis près de deux ans, l’amende est tout à fait justifiée. Les faits sont survenus avant l’entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD).
Des vérifications ont d’ores et déjà été faites par Bouygues Telecom pour corriger la faille.

Mardi 1 Janvier 2019 La Rédaction