Type de juridiction : Conseil d’Etat

Juridiction : Conseil d’Etat

Thématique : Bouygues Télécom : défaut de sécurité de site sanctionnée

[well type= » »][icon type= »fa fa-cube » color= »#dd3333″] Réflexe juridique 

Les éditeurs de sites internet dont une partie donne accès à des données personnelles, ont l’obligation de veiller à mettre en place une politique de sécurité de leur site (audit, suivi, alertes …).   [/well]

Affaire Bouygues Télécom

En 2018, la CNIL a été informée d’une faille de sécurité sur le site bouyguestelecom.fr donnant la possibilité d’accéder à des documents contenant des données à caractère personnel de clients de la société. L’accès était rendu possible à partir de plusieurs adresses URL ayant une structure identique.

Manquement à l’obligation d’assurer la sécurité et la confidentialité des données

L’article 34 de la loi du 6 janvier 1978 modifiée, dans sa version applicable au jour des constats, dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

La CNIL a considéré que bien qu’une mesure visant à rendre les adresses URL imprévisibles puisse apparaitre adaptée et proportionnée en l’espèce, au regard du nombre de données à caractère personnel accessibles, de la nécessité de les protéger, et de la fragilité induite par l’existence d’adresses URL prévisibles, d’autres mesures pouvaient également permettre d’assurer une protection équivalente des données traitées. Les précautions à prendre pour préserver la sécurité des données relèvent de la responsabilité du responsable de traitement.

En l’espèce, la société Bouygues Télécom a fait le choix de ne pas mettre en œuvre de mesure complémentaire à l’authentification des utilisateurs de son site web. Ce choix a fait peser sur la société une obligation particulièrement renforcée quant à la vigilance qu’il convenait de porter à cette unique mesure de sécurité.

Question de l’audit par des prestataires

En second lieu, sur l’attention portée à la mesure de protection mise en place, Bouygues Télécom affirmait avoir réalisé de nombreux audits et tests de sécurité afin de mettre à l’épreuve la protection des données à caractère personnel qu’elle traite. Ces tests ont été réalisés chaque année, tant directement par la société que par l’intermédiaire de prestataires extérieurs.

Or, si l’oubli de réactiver le code rendant nécessaire l’authentification des utilisateurs sur le site web de la société est effectivement une erreur humaine, dont la société ne peut se prémunir totalement, le fait de ne pas avoir mis en œuvre, pendant plus de deux années, les mesures efficaces permettant de découvrir cette erreur constitue une violation des obligations imposées par l’article 34 susvisé. Des mesures de revue automatisée du code adaptées aux spécificités du système d’information hérité et une revue manuelle de la partie du code en charge de l’authentification auraient permis de découvrir la vulnérabilité et d’y remédier. La société n’a donc pas porté à la base en question l’attention nécessaire pour assurer la sécurité des données personnelles traitées.

250 000 euros de sanction

La gravité de la violation était caractérisée en raison du nombre de données et de personnes concernées par la violation ainsi qu’en raison de sa durée.  En effet, la violation de données a concerné plus de deux millions d’utilisateurs, soit un nombre très important de personnes, et des données identifiantes telles que le nom, le prénom, la date de naissance, l’adresse de courrier électronique, l’adresse physique, le numéro de téléphone mobile (250 000 euros de sanction).

Télécharger