En 2018, la CNIL a révélé une faille de sécurité sur le site bouyguestelecom.fr, permettant l’accès à des données personnelles de clients via des URL prévisibles. Malgré des audits de sécurité, Bouygues Télécom n’a pas mis en œuvre de mesures suffisantes pour protéger ces données, ce qui a conduit à une violation touchant plus de deux millions d’utilisateurs. La société a été sanctionnée de 250 000 euros en raison de la gravité de la situation, soulignant l’importance d’assurer la sécurité et la confidentialité des données personnelles conformément à l’article 34 de la loi de 1978.. Consulter la source documentaire.

Quelles sont les obligations des éditeurs de sites internet concernant la sécurité des données personnelles ?

Les éditeurs de sites internet qui traitent des données personnelles ont l’obligation de mettre en place une politique de sécurité robuste. Cela inclut la réalisation d’audits réguliers, le suivi des mesures de sécurité, et la mise en place d’alertes pour détecter toute anomalie.

Ces obligations visent à protéger les données contre des accès non autorisés, des déformations ou des dommages. La responsabilité de garantir cette sécurité incombe au responsable du traitement des données, qui doit prendre toutes les précautions nécessaires en fonction de la nature des données et des risques associés.

Quel incident a été signalé concernant Bouygues Télécom en 2018 ?

En 2018, la CNIL a été informée d’une faille de sécurité sur le site bouyguestelecom.fr. Cette faille permettait d’accéder à des documents contenant des données personnelles de clients, accessibles via plusieurs adresses URL ayant une structure identique.

Cette situation a soulevé des préoccupations majeures concernant la sécurité des données personnelles, car elle a exposé des informations sensibles de nombreux utilisateurs. La CNIL a donc dû intervenir pour évaluer la gravité de la situation et les mesures à prendre.

Quelles mesures de sécurité étaient attendues de la part de Bouygues Télécom ?

Selon l’article 34 de la loi du 6 janvier 1978, Bouygues Télécom était tenue de prendre toutes les précautions utiles pour assurer la sécurité et la confidentialité des données personnelles. Cela inclut la mise en œuvre de mesures de sécurité adaptées pour prévenir tout accès non autorisé.

La CNIL a noté que, bien qu’une mesure visant à rendre les adresses URL imprévisibles puisse sembler adéquate, d’autres mesures de sécurité étaient également nécessaires. Bouygues Télécom a choisi de ne pas mettre en œuvre de mesures complémentaires à l’authentification des utilisateurs, ce qui a accru sa responsabilité en matière de sécurité.

Comment Bouygues Télécom a-t-elle justifié ses pratiques de sécurité ?

Bouygues Télécom a affirmé avoir réalisé de nombreux audits et tests de sécurité pour évaluer la protection des données personnelles. Ces tests étaient effectués chaque année, tant par la société elle-même que par des prestataires externes.

Cependant, malgré ces affirmations, la CNIL a constaté que l’absence de réactivation d’un code essentiel pour l’authentification des utilisateurs pendant plus de deux ans constituait une violation des obligations de sécurité. Des mesures de revue automatisée et manuelle auraient pu permettre de détecter cette vulnérabilité.

Quelle a été la sanction imposée à Bouygues Télécom pour cette violation ?

La CNIL a infligé une sanction de 250 000 euros à Bouygues Télécom en raison de la gravité de la violation. Cette sanction a été justifiée par le nombre élevé de données et de personnes concernées, ainsi que par la durée de la violation.

En effet, plus de deux millions d’utilisateurs ont été affectés, et des données sensibles telles que le nom, le prénom, la date de naissance, l’adresse électronique, l’adresse physique et le numéro de téléphone mobile ont été compromises. Cette situation a mis en lumière l’importance cruciale de la sécurité des données personnelles.