Le site web www.bouyguestelecom.fr offre à ses clients la possibilité de se connecter à un espace personnel.
Faille dénoncée le 2 mars: possibilité d’accéder à des documents contenant des données à caractère personnel de clients de la société à partir de plusieurs adresses URL ayant une structure identique. La violation ne permettait d’accéder qu’aux données contenues dans 2 176 236 lignes visant des clients B&You.
5 mars: Bouygues Telecom a pris les mesures visant à empêcher l’accès aux données.
6 mars: notification à la CNIL
9 mars: contrôle CNIL
Constats:
1/ Le code informatique rendant nécessaire l’authentification au site web www.bouyguestelecom.fr avait été désactivé à la suite d’une erreur humaine.
Bien qu’une mesure visant à rendre les adresses URL imprévisibles puisse apparaitre adaptée et proportionnée en l’espèce, cette mesure ne présente effectivement pas un caractère obligatoire, d’autres mesures pouvant permettre d’assurer une protection équivalente des données traitées.
En l’espèce, la société BOUYGUES TELECOM a fait le choix de ne pas mettre en œuvre de mesure complémentaire à l’authentification des utilisateurs du site web www.bouyguestelecom.fr.
2/ Malgré les nombreux tests, la méthode s’est révélée innefficace car les comptes utilisés pour les tests effectués n’étaient pas adaptés pour identifier la vulnérabilité.Une revue manuelle de ces lignes aurait ainsi immédiatement permis la découverte de l’erreur à l’origine de la vulnérabilité. Le fait de ne pas avoir mis en œuvre, pendant plus de deux années, les mesures efficaces permettant de découvrir cette erreur constitue une violation des obligations imposées par la loi applicable.
Sur la publicité: la société BOUYGUES TELECOM a été très réactive dans la mise en place d’une cellule de crise et le déploiement de mesures visant à rendre inaccessibles les données à caractère personnel concernées, cependant, la gravité de la violation est caractérisée en raison du nombre de données et de personnes concernées par la violation ainsi qu’en raison de sa durée. Le fait que les données accessibles ne contiennent aucune donnée pouvant être qualifiée de sensible , est sans influence sur la caractérisation du manquement à l’obligation incombant à un responsable de traitement d’assurer la sécurité des données qu’il traite.
