webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation en vidéo Notre approche Nos départements Nos avocats Nos publications Nos distinctions Nous contacter Agenda / évènements Nos événements Autres événements Photothèque / Vidéothèque Ouvrages de référence Lexique Newsletters Rechercher Nos sites internet Distribution Concurrence consommation Immobilier IT / IP Corporate Restructuring International Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre des réseaux
L'actualité juridique et économique des réseaux de distribution par Simon Associés
simon associés simon associés
Accueil >IT / IP
 

Bouygues Telecom condamné à une amende de 250 000 € par la CNIL pour non-respect de la sécurité des données de ses clients

Délibération n°SAN -2018-012 du 26 décembre 2018

La CNIL, dans sa délibération du 26 décembre 2018, rappelle que l’obligation de sécurité des données à caractère personnel qui pèse sur le responsable de traitement est une obligation de moyens, et non de résultat. Cependant, cette obligation peut devenir une obligation de moyens renforcée eu égard aux spécificités du système d’information choisi par le responsable de traitement.



La CNIL a été avisée, le 2 mars 2018, soit quelques mois avant l’entrée en application du RGPD, de ce que les données personnelles des clients de la marque B&You détenue par BOUYGUES TELECOM étaient insuffisamment protégées. La plateforme en cause était destinée à l’édition de factures et à la gestion administrative de leurs contrats par les clients de BOUYGUES TELECOM.

En effet, un simple incident technique avait permis de rendre librement accessibles l’ensemble des données à caractère personnel des clients de ladite marque. Une nouvelle fois, la simple modification d’une adresse URL entraînait l’accès à des contrats et factures de clients.

L’ampleur de la faille de sécurité était notable : elle a duré plus de deux ans, et concerné plus de deux millions d’utilisateurs.

Le 6 mars 2018, la société BOUYGUES TELECOM, conformément à ses obligations, a notifié la faille de sécurité à la CNIL. Une mission de contrôle par les agents de la CNIL s’en est suivie dans les locaux de la société BOUYGUES TELECOM.

Au visa de l’article 34 ancien de la Loi informatique et libertés, lequel dispose « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès », la formation restreinte de la CNIL a donc condamné la société BOUYGUES TELECOM à une amende de 250 000 € au motif qu’elle avait gravement manqué à la sécurité des données à caractère personnel de ses clients.

Il ressort de cette décision que cette vulnérabilité du système était liée à un simple oubli de réactivation de la fonction d’authentification du client, suite à une opération de tests suivant la fusion de bases de données clients B&You et de clients BOUYGUES TELECOM.

Soulignons que la CNIL a retenu, pour fixer le montant de l’amende administrative, la grande réactivité de la société BOUYGUES TELECOM, laquelle a, dès le 5 mars 2018, mis en place de nombreuses mesures afin d’empêcher l’accès aux données, sans avoir identifié l’origine de la faille. Dès le 9 mars, la CNIL a pu constater qu’il était désormais impossible d’accéder librement aux données.

Ainsi, La CNIL rappelle à la faveur de cette décision, que l’obligation de sécurité pesant sur le responsable de traitement est une obligation de moyens, et non de résultat. Elle précise notamment :

« La formation restreinte estime dès lors que, si l’oubli de réactiver le code rendant nécessaire l’authentification des utilisateurs sur le site web de la société est effectivement une erreur humaine, dont la société ne peut se prémunir totalement, le fait de ne pas avoir mis en œuvre, pendant plus de deux années, les mesures efficaces permettant de découvrir cette erreur constitue une violation des obligations imposées par l’article 34 susvisé. Des mesures de revue automatisée du code adaptées aux spécificités du système d’information hérité et une revue manuelle de la partie du code en charge de l’authentification auraient permis de découvrir la vulnérabilité et d’y remédier.

La formation restreinte considère, par conséquent, que la société n’a pas porté à la base en question l’attention nécessaire pour assurer la sécurité des données personnelles traitées. »

Le manquement à l’article 34 de la Loi informatique et libertés est donc constitué, la société BOUYGUES TELECOM n’ayant pas mis en œuvre les moyens suffisants qui s’imposaient compte tenu de la spécificité du système d’information choisi qui aurait mérité des mesures de revue plus adaptées.

A rapprocher :  Article 34 de la Loi informatique et libertés

VOIR AUSSI

Fouille électronique de documents : le débat autour du projet de loi fait rage

Réflexions à l’approche du vote du Sénat le 27 septembre 2016

- Vu : 2567

La fouille électronique de documents serait, selon ses partisans (dont notamment les laboratoires de recherche et les bibliothèques) une pratique incontournable, issue des technologies BIG DATA, permettant d'accélérer la recherche. Selon ses détracteurs, cette pratique mettrait en péril les droits de propriété littéraire et artistique...

> Lire la suite

Marché unique du numérique : nouvelles règles

Commission Européenne, communiqué IP/16/1887, 25 mai 2016

- Vu : 2325

En marche pour le marché unique numérique, la Commission Européenne a proposé de nouvelles règles pour le commerce électronique...

> Lire la suite


Les plus vus...
Rappels concernant l’obligation périodique de statuer sur une augmentation de capital réservée aux salariés
15 janvier 2013 - Vu : 73930
La collectivité des associés d’une société par actions doit, lorsque le rapport de gestion présenté à l’AGO annuelle indique ...
> Lire la suite
Le nouvel article 1231-5 du code civil relatif à la clause pénale
14 mai 2016 - Vu : 58902
Parmi les nombreuses dispositions qu'elle contient, la réforme du droit des contrats introduit un nouvel article 1231-5 au ...
> Lire la suite
MAPIC - 16-18 novembre 2016 - Cannes | Palais des Festivals
27 septembre 2016 - Vu : 38188
SIMON ASSOCIÉS sera présent au MAPIC du 16 au 18 novembre à Cannes. ...
> Lire la suite
Clauses de durée et poursuite des relations commerciales dans les contrats de distribution
1 décembre 2012 - Vu : 34195
La poursuite des relations commerciales dans les contrats de franchise, et plus généralement dans les contrats de distribution, ...
> Lire la suite
Copyright ©2016 La lettre des Réseaux | Création et réalisation Webcd©