webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

BOUYGUES TELECOM condamné à une amende de 250 000 € par la CNIL pour non-respect de la sécurité des données de ses clients

Délibération n°SAN -2018-012 du 26 décembre 2018

La CNIL, dans sa délibération du 26 décembre 2018, rappelle que l’obligation de sécurité des données à caractère personnel qui pèse sur le responsable de traitement est une obligation de moyens, et non de résultat. Cependant, cette obligation peut devenir une obligation de moyens renforcée eu égard aux spécificités du système d’information choisi par le responsable de traitement.



La CNIL a été avisée, le 2 mars 2018, soit quelques mois avant l’entrée en application du RGPD, de ce que les données personnelles des clients de la marque B&You détenue par BOUYGUES TELECOM étaient insuffisamment protégées. La plateforme en cause était destinée à l’édition de factures et à la gestion administrative de leurs contrats par les clients de BOUYGUES TELECOM.

En effet, un simple incident technique avait permis de rendre librement accessibles l’ensemble des données à caractère personnel des clients de ladite marque. Une nouvelle fois, la simple modification d’une adresse URL entraînait l’accès à des contrats et factures de clients.

L’ampleur de la faille de sécurité était notable : elle a duré plus de deux ans, et concerné plus de deux millions d’utilisateurs.

Le 6 mars 2018, la société BOUYGUES TELECOM, conformément à ses obligations, a notifié la faille de sécurité à la CNIL. Une mission de contrôle par les agents de la CNIL s’en est suivie dans les locaux de la société BOUYGUES TELECOM.

Au visa de l’article 34 ancien de la Loi informatique et libertés, lequel dispose « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès », la formation restreinte de la CNIL a donc condamné la société BOUYGUES TELECOM à une amende de 250 000 € au motif qu’elle avait gravement manqué à la sécurité des données à caractère personnel de ses clients.

Il ressort de cette décision que cette vulnérabilité du système était liée à un simple oubli de réactivation de la fonction d’authentification du client, suite à une opération de tests suivant la fusion de bases de données clients B&You et de clients BOUYGUES TELECOM.

Soulignons que la CNIL a retenu, pour fixer le montant de l’amende administrative, la grande réactivité de la société BOUYGUES TELECOM, laquelle a, dès le 5 mars 2018, mis en place de nombreuses mesures afin d’empêcher l’accès aux données, sans avoir identifié l’origine de la faille. Dès le 9 mars, la CNIL a pu constater qu’il était désormais impossible d’accéder librement aux données.

Ainsi, La CNIL rappelle à la faveur de cette décision, que l’obligation de sécurité pesant sur le responsable de traitement est une obligation de moyens, et non de résultat. Elle précise notamment :

« La formation restreinte estime dès lors que, si l’oubli de réactiver le code rendant nécessaire l’authentification des utilisateurs sur le site web de la société est effectivement une erreur humaine, dont la société ne peut se prémunir totalement, le fait de ne pas avoir mis en œuvre, pendant plus de deux années, les mesures efficaces permettant de découvrir cette erreur constitue une violation des obligations imposées par l’article 34 susvisé. Des mesures de revue automatisée du code adaptées aux spécificités du système d’information hérité et une revue manuelle de la partie du code en charge de l’authentification auraient permis de découvrir la vulnérabilité et d’y remédier.

La formation restreinte considère, par conséquent, que la société n’a pas porté à la base en question l’attention nécessaire pour assurer la sécurité des données personnelles traitées. »

Le manquement à l’article 34 de la Loi informatique et libertés est donc constitué, la société BOUYGUES TELECOM n’ayant pas mis en œuvre les moyens suffisants qui s’imposaient compte tenu de la spécificité du système d’information choisi qui aurait mérité des mesures de revue plus adaptées.

A rapprocher :  Article 34 de la Loi informatique et libertés

VOIR AUSSI

Consécration d’une 5ème liberté du marché unique

- Vu : 61

Article rédigé par Stéphane Baïkoff pour la revue Expertises de février 2019.

> Lire la suite

Interview de Stéphane BAÏKOFF sur le RGPD par France 3 Pays de la Loire

Emission "9h50 le Matin" du 28 mai 2018

- Vu : 746

Interview vidéo de Stéphane BAÏKOFF sur le RGPD, en direct du plateau de "9h50 le Matin" sur France 3 Pays de la Loire.

> Lire la suite


Les plus vus...
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 1833
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 1690
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 1525
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Protéger ses marques efficacement - 15 mai 2018 - Nantes
16 avril 2018 - Vu : 1234
SIMON ASSOCIÉS organise un petit-déjeuner sur le thème de la protection des marques le 15 mai 2018 à ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©