Bouygues condamné par la CNIL ? Non mais Allo quoi !

L'autorité française de protection des données personnelles, la Cnil, a infligé une amende de 250.000 euros à Bouygues Télécom pour "manquement à la sécurité des données clients". En effet, les contrats de deux millions de clients B&You étaient accessibles pendant plus de deux ans via un simple changement d'adresse internet sur le site de la marque.

Voyons avec un ton décalé (et assumé !) les aspects à retenir de cette condamnation.

Bouygues rattrapé par un grand classique !  

Bouygues, Darty, L’Alliance Française, l’ADEF ont tous été condamnés en 2018 pour le même manquement de sécurité : rendre « prévisible » l’adresse URL de certaines pages de leur site (Ex : monsite.fr/fichesclients/Nom=Labare > Pour atteindre la fiche client de Dupont : changer Labare par Dupont). Cette erreur entraine de facto une vulnérabilité au risque de perdre la confidentialité des données. Pire, dans certains cas, certaines pages étaient indexées par Google ! 

La CNIL mentionne sur son site cette erreur parmi les 5 plus courantes ! Pour info, cette vérification fait partie de mon audit.

Pourquoi cette condamnation est clémente

L’amende ne représente que 0,005% du CA de Bouygues. A comparer effectivement avec : 

• L’Alliance Française= Amende représentant 0,3% du CA 
• L’ADEF = Amende représentant 0,2% du CA 
• Darty = Amende représentant 0,002% du CA 

C’est certes bien peu eu égard au nombre record de contrats ainsi accessibles : 2 180 000, soit deux fois plus que Darty. Mais, on retrouve dans la décision de ce matin les circonstances "aggravantes" et « atténuantes » prévues par le RGPD. 

Ce qui a joué en faveur de Bouygues est la « faible sensibilité » des données (n’entendons pas ce terme au sens entendu par le RGPD). Dans le cas de l’ADEF, il était question d'avis d’imposition, passeports, cartes d’identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF de près de 50 000 personnes ! Dans le cas de Bouygues, il n’est question ""que"" de Contrats.

Ce qui a également joué, c’est l’hyper réactivité des équipes de Bouygues : en 3 jours la faille était corrigée. On est loin de la réactivité de Darty ou celle de l’Alliance Française qui avaient alors tout fait pour se défausser sur leur sous-traitant : l’Alliance Française avait tout de même mis 4 mois pour corriger la faille, après deux contrôles… 

"4% du CA, qu'ils avaient dit !"

Les faits remontent à mars 2018, soit avant l'entrée en vigueur du RGPD. La décision est donc fondée sur l'ancienne version de la Loi Informatique et Libertés prévoyant des sanctions moins sévères.  

"A bon entendeur, salut ! "

Suite à cette décision, j'invite :

- Toutes les DSI d’Europe à vérifier la prévisibilité des URL des sites dont elles ont la charge,

- Tous les DPO, DSI et Directeurs de Com’ à mettre en place un process de crise pour s’assurer d'une correction rapide, d'une notification dans les délais de la CNIL, voire aux personnes concernées,

- Tous les DPO, DSI et Directeurs juridiques de verrouiller leur contrat auprès des sous traitants en cas de survenance d'une telle crise,

- Tous les Directeurs Marketing à limiter les données collectées au strict minimum et les purger une fois devenues inutiles. Cela limitera le préjudice en cas de faille de sécurité.

Récentes publications :

• La guerre des boutons, Vraiment Très Contrariant, Frankenstein 2.0...
• Le Père Noël est il conforme au RGPD ?

----------------------------------------

DPO certifié par Bureau Veritas, Etik Data accompagne les entreprises en simplifiant leur mise en conformité au RGPD grâce à trois valeurs qui l’animent : pédagogie, pragmatisme et méthode. En complément de cette prestation, Etik Data aide à mettre en valeur vos engagements et en faire un vecteur d’image et de chiffre d’affaires. www.etik-data.eu I philippelabare@etik-data.eu