En mars 2018, la Commission nationale de l’informatique et des libertés (CNIL) a reçu un signalement l’informant de l’existence d’un incident de sécurité qui conduisait à rendre librement accessibles les données personnelles de clients de la marque B&You, détenues par la société BOUYGUES TELECOM. Dans les jours suivants, cette dernière a notifié la violation de données à la CNIL.À la suite du signalement, les équipes de la société ont reproduit l’incident : les adresses URL composées comme suit
https://www.bouyguestelecom.fr/archi.../archived_id/X, où X représente un nombre entier, permettaient d’afficher le contrat de souscription d’un client. À partir de cette adresse URL, et en modifiant la valeur de X , il était possible d’afficher le contrat d’un autre client.
Les données concernées par la violation étaient contenues dans une table, intitulée archived_contract_invoice , composant la base de données MySQL du site de la société. Parmi les 2 788 289 lignes de la table, la société a indiqué que la violation ne permettait d’accéder qu’aux données contenues dans 2 176 236 lignes visant des clients B&You, sans comprendre de clients Bouygues Telecom ni de clients professionnels.
Une première série de mesures a été déployée le 5 mars 2018 afin d’empêcher l’accès aux données, avant que les équipes techniques ne découvrent l’origine exacte de la vulnérabilité et y remédient.
Lors du contrôle sur place du 9 mars 2018, la délégation a constaté qu’il n’était effectivement plus possible d’afficher les contrats et factures accessibles à partir des URL susvisées. Le contrôle a permis de constater que la saisie de plusieurs adresses URL composées comme suit https://www.bouyguestelecom.fr/archi.../archived_id/X renvoyait un message d’erreur que l’on soit, ou non, un utilisateur connecté à son espace client. Les données avaient donc effectivement été rendues inaccessibles.
Interrogée sur la date à laquelle le défaut de sécurité était apparu, la société a expliqué que la vulnérabilité trouvait son origine dans la fusion des marques Bouygues Telecom et B&You et des systèmes informatiques correspondants, en 2015. Une base spécifique aux anciens clients B&You a été conservée par la société afin de permettre à ces clients et anciens clients d’accéder à leurs contrats et factures. Il s’agit de la base de données concernée par la violation de données.
À l’occasion de tests effectués à la suite de la fusion de ces bases de données, le code informatique rendant nécessaire l’authentification au site web www.bouyguestelecom.fr avait été désactivé. En raison d’une erreur humaine commise par une personne agissant pour le compte de la société, ce code n’a pas été réactivé à l’issue des tests réalisés.
Ce défaut de sécurité a donc impacté les données de plus de deux millions de clients B&You pendant plus de deux ans même si, après en avoir été informé, l’opérateur a rapidement corrigé la vulnérabilité et les données personnelles des clients n’étaient plus librement accessibles.
Manquement à l’obligation d’assurer la sécurité et la confidentialité des données
L’article 34 de la loi du 6 janvier 1978 modifiée, dans sa version applicable au jour des constats, dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .
À titre liminaire, la société expose que l’article 34 de la loi Informatique et Libertés précité met à la charge du responsable de traitement une obligation de moyen et non de résultat. Elle considère qu’en l’espèce, elle n’a commis aucun manquement à ses obligations dans la mesure où la violation de données dont elle a été victime ne résulte pas de l’insuffisance des mesures qu’elle aurait prises en matière de sécurité mais d’une erreur humaine. Elle considère que la lecture de l’article 34 faite par le rapporteur revient à rendre imputable à un responsable de traitement n’importe quelle violation de données à caractère personnel, quelles que soient les circonstances dans lesquelles serait intervenue cette violation, et fait peser sur lui une obligation de résultat en matière de sécurité.
La formation restreinte rappelle qu’en application de l’article 34 précité, il appartient bien à la formation restreinte de décider si la société BOUYGUES TELECOM a manqué à l’obligation lui incombant de prendre des mesures suffisantes pour assurer la sécurité des données personnelles contenues dans son système d’information, et en particulier celles des utilisateurs du site web www.bouyguestelecom.fr. La formation restreinte relève à cet égard que la société BOUYGUES TELECOM ne conteste ni le fait que des données à caractère personnel qu’elle traite ont été librement accessibles par le biais des adresses URL évoquées, ni l’origine de cette violation de données.
En premier lieu, sur la mesure de protection mise en place, la société considère qu’elle a respecté les règles de l’art en mettant en place, au moment de la fusion de ses systèmes d’information, un mécanisme rendant nécessaire l’authentification de l’utilisateur avant de lui permettre d’accéder aux données sur le site web www.bouyguestelecom.fr. Elle considère qu’une seconde mesure de protection, telle que le fait de rendre les adresses URL imprévisibles ou difficilement lisibles, n’est une pratique imposée ni par les textes, ni par l’état de l’art.
Sur ce point, la formation restreinte constate que l’article 34 précité n’est pas prescriptif quant aux mesures devant être déployées par les responsables de traitement pour garantir la sécurité d’un traitement tant que l’obligation est, in fine, respectée.
La formation restreinte considère ainsi que bien qu’une mesure visant à rendre les adresses URL imprévisibles puisse apparaitre adaptée et proportionnée en l’espèce, au regard du nombre de données à caractère personnel accessibles, de la nécessité de les protéger, et de la fragilité induite par l’existence d’adresses URL prévisibles, cette mesure ne présente effectivement pas un caractère obligatoire, d’autres mesures pouvant permettre d’assurer une protection équivalente des données traitées. Les précautions à prendre pour préserver la sécurité des données relèvent de la responsabilité du responsable de traitement.
La formation restreinte constate qu’en l’espèce, la société BOUYGUES TELECOM a fait le choix de ne pas mettre en œuvre de mesure complémentaire à l’authentification des utilisateurs du site web www.bouyguestelecom.fr. En conséquence, la formation restreinte estime que ce choix a fait peser sur la société une obligation particulièrement renforcée quant à la vigilance qu’il convenait de porter à cette unique mesure de sécurité.
En second lieu, sur l’attention portée à la mesure de protection mise en place, la société affirme avoir réalisé de nombreux audits et tests de sécurité afin de mettre à l’épreuve la protection des données à caractère personnel qu’elle traite. Ces tests ont été réalisés chaque année, tant directement par la société que par l’intermédiaire de prestataires extérieurs, entre 2015 et 2018. Elle rappelle qu’aucun de ces tests n’a permis de découvrir la vulnérabilité rendant accessibles les données.
Sanction pécuniaire
La formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 250 000 euros, considérant que la société avait manqué à son obligation d’assurer la sécurité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés.
Dans un communiqué, la CNIL a fait valoir que :
Envoyé par CNIL
La formation restreinte a constaté que le défaut de sécurité trouvait son origine dans l’oubli de réactiver sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les seuls besoins de ces tests. Elle a estimé néanmoins qu’il appartenait à la société d’être particulièrement vigilante quant à l’effectivité de son mécanisme d’authentification, compte tenu de son choix de ne pas mettre en place de mesure de sécurité complémentaire.
La formation restreinte a tenu compte de la grande réactivité de l’opérateur dans la résolution de l’incident de sécurité ainsi que des nombreuses mesures mises en place par la société pour limiter ses conséquences.
La sanction prononcée par la formation restreinte concerne des faits s’étant entièrement déroulés avant l’entrée en application du règlement européen sur la protection des données personnelles.
La formation restreinte a tenu compte de la grande réactivité de l’opérateur dans la résolution de l’incident de sécurité ainsi que des nombreuses mesures mises en place par la société pour limiter ses conséquences.
La sanction prononcée par la formation restreinte concerne des faits s’étant entièrement déroulés avant l’entrée en application du règlement européen sur la protection des données personnelles.
Voir aussi :
La CNIL inflige une amende de 400 000 euros à Uber pour le piratage dont la société a été victime en 2016 RGPD : la CNIL a enregistré une augmentation de 34 % des plaintes en 2018, les Français sont-ils devenus plus sensibles à la protection des données ? La CNIL met en demeure l'école 42 pour vidéosurveillance excessive de ses élèves et pour protection insuffisante de leurs données personnelles Violations de données personnelles : la CNIL dresse un premier bilan chiffré, quatre mois après l'entrée en application du RGPD La CNIL adopte deux référentiels pour la certification des compétences du DPO, et pourra habiliter les organismes certificateurs 
