En mars 2018, la Commission nationale de l’informatique et des libertés (CNIL) a reçu un signalement l’informant de l’existence d’un incident de sécurité qui conduisait à rendre librement accessibles les données personnelles de clients de la marque B&You, détenues par la société BOUYGUES TELECOM. Dans les jours suivants, cette dernière a notifié la violation de données à la CNIL.À la suite du signalement, les équipes de la société ont reproduit l’incident : les adresses URL composées comme suit
https://www.bouyguestelecom.fr/archi.../archived_id/X, où X représente un nombre entier, permettaient d’afficher le contrat de souscription d’un client. À partir de cette adresse URL, et en modifiant la valeur de X , il était possible d’afficher le contrat d’un autre client.
Les données concernées par la violation étaient contenues dans une table, intitulée archived_contract_invoice , composant la base de données MySQL du site de la société. Parmi les 2 788 289 lignes de la table, la société a indiqué que la violation ne permettait d’accéder qu’aux données contenues dans 2 176 236 lignes visant des clients B&You, sans comprendre de clients Bouygues Telecom ni de clients professionnels.
Une première série de mesures a été déployée le 5 mars 2018 afin d’empêcher l’accès aux données, avant que les équipes techniques ne découvrent l’origine exacte de la vulnérabilité et y remédient.
Lors du contrôle sur place du 9 mars 2018, la délégation a constaté qu’il n’était effectivement plus possible d’afficher les contrats et factures accessibles à partir des URL susvisées. Le contrôle a permis de constater que la saisie de plusieurs adresses URL composées comme suit https://www.bouyguestelecom.fr/archi.../archived_id/X renvoyait un message d’erreur que l’on soit, ou non, un utilisateur connecté à son espace client. Les données avaient donc effectivement été rendues inaccessibles.
Interrogée sur la date à laquelle le défaut de sécurité était apparu, la société a expliqué que la vulnérabilité trouvait son origine dans la fusion des marques Bouygues Telecom et B&You et des systèmes informatiques correspondants, en 2015. Une base spécifique aux anciens clients B&You a été conservée par la société afin de permettre à ces clients et anciens clients d’accéder à leurs contrats et factures. Il s’agit de la base de données concernée par la violation de données.
À l’occasion de tests effectués à la suite de la fusion de ces bases de données, le code informatique rendant nécessaire l’authentification au site web www.bouyguestelecom.fr avait été désactivé. En raison d’une erreur humaine commise par une personne agissant pour le compte de la société, ce code n’a pas été réactivé à l’issue des tests réalisés.
Ce défaut de sécurité a donc impacté les données de plus de deux millions de clients B&You pendant plus de deux ans même si, après en avoir été informé, l’opérateur a rapidement corrigé la vulnérabilité et les données personnelles des clients n’étaient plus librement accessibles.
Manquement à l’obligation d’assurer la sécurité et la confidentialité des données
L’article 34 de la loi du 6 janvier 1978 modifiée, dans sa version applicable au jour des constats, dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .
À titre liminaire, la société expose que l’article 34 de la loi Informatique et Libertés précité met à la charge du responsable de traitement une obligation de moyen et non de résultat. Elle considère qu’en l’espèce, elle n’a commis aucun manquement à ses obligations dans la mesure où la violation de données dont elle a été victime ne résulte pas de l’insuffisance des mesures qu’elle aurait prises en matière de sécurité mais d’une erreur humaine. Elle considère que la lecture de l’article 34 faite par le rapporteur revient à rendre imputable à un responsable de traitement n’importe quelle violation de données à caractère personnel, quelles que soient les circonstances dans lesquelles serait intervenue cette violation, et fait peser sur lui une...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
