L'autorité française de protection des données personnelles, la Cnil, a infligé une amende de 250.000 euros à Bouygues Télécom pour "manquement à la sécurité des données clients", a annoncé l'instance jeudi.
Deux millions de clients impactés dans un incident. Les faits reprochés concernent un incident de sécurité sur "les données de plus de deux millions de clients B&You", accessibles pendant plus de deux ans via un simple changement d'adresse internet sur le site de Bouygues Télécom, a précisé dans un communiqué la Cnil, saisie de ce dossier en mars.
"Une vulnérabilité" due à "une erreur humaine". Un contrôle, réalisé dans la foulée du signalement, "a permis de confirmer l'existence d'une vulnérabilité permettant d'accéder à des contrats et factures" des clients concernés, précise la Cnil, qui ajoute que, "après en avoir été informé, l'opérateur a rapidement corrigé la vulnérabilité et les données n'étaient plus librement accessibles".
La Commission a imputé la vulnérabilité à une erreur humaine, parlant d'un "oubli sur le site, après une phase de test, la fonction d'authentification à l'espace client qui avait été désactivée pour les seuls besoins du test".
Des données qui n'ont "pas été utilisées", avance Bouygues. Du côté de l'opérateur, on ne conteste pas la "vulnérabilité" et on "prend acte de la décision de la Cnil". "Après enquête, il apparaît que les données n'ont pas été utilisées par une personne extérieure", a-t-on précisé chez Bouygues Telecom, "aucune donnée sensible n'a été exposée". L'opérateur précise par ailleurs que les clients B&You concernés par l'incident "clos depuis son signalement", sont ceux ayant souscrit un abonnement "avant décembre 2014".