Bouygues Telecom a « insuffisamment protégé les données » de plus de deux millions de clients de sa marque B&You. L’autorité française de protection des données personnelles, la CNIL, a infligé jeudi 27 décembre une amende de 250 000 euros à l’opérateur téléphonique pour « manquement à la sécurité des données clients ».

Un contrôle réalisé par la Commission nationale de l’informatique et des libertés (CNIL) dans les locaux de l’opérateur téléphonique a permis de « confirmer l’existence d’une vulnérabilité permettant d’accéder à des contrats et factures de clients B & You ». Pendant plus de deux ans, ces données confidentielles étaient accessibles via une simple modification de l’adresse URL sur le site Web de Bouygues Telecom.

« L’authentification à l’espace client avait été désactivée »

Selon la CNIL, qui s’était saisie de ce dossier en mars et avait aussitôt prévenu l’opérateur, Bouygues « a rapidement corrigé la vulnérabilité et les données personnelles des clients n’étaient plus librement accessibles ».

« Le défaut de sécurité trouvait son origine dans l’oubli de réactiver sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les seuls besoins de ces tests », précise l’instance dans un communiqué. « La sanction prononcée concerne des faits s’étant entièrement déroulés avant l’entrée en application du règlement européen sur la protection des données personnelles », ajoute encore la CNIL.