Suite à une faille de sécurité ayant duré plus de deux ans, la CNIL a décidé d'infliger une amende de 250 000 euros à Bouygues Telecom. Cette dernière devait initialement s'élever à 500 000 euros et fait suite à un « défaut de sécurité sur le site web www.bouyguestelecom.fr.»
Il était en effet possible d'accéder à certaines données personnelles de clients à partir de diverses URL comme celle-ci : https://www.bouyguestelecom.fr/archived/index/printcontract/archived_id/X.
X « représente un nombre entier et permettait d’afficher le contrat de souscription d’un client. À partir de cette adresse URL, et en modifiant la valeur de X », il était ainsi possible de voir le nom, le prénom, la date de naissance, les factures ou encore l'adresse postale et le mail des clients.
Au total, les données de 2 176 236 clients B&You ont été impactées. Suite à la découverte de cette faille, en mars 2018 Bouygues l'a rapidement corrigé afin que les données ne soient plus accessibles.
Cette année, la CNIL a condamné plusieurs entreprises comme par exemple Uber, qui doit s'acquitter de la somme de 400 000 dollars suite à une cyberattaque ayant dévoilé les données de plusieurs millions d'utilisateurs.
La CNIL a ainsi jugé que Bouygues Telecom avait « manqué à son obligation d'assurer la sécurité des données personnelles des utilisateurs de son site. » La bonne nouvelle pour Bouygues c'est que l'infraction a eu lieu avant l'entrée en vigueur du RGPD en mai dernier. L'amende aurait ainsi pu atteindre 3 millions d'euros après sa mise en place. Bouygues dispose à présent de quelques semaines pour déposer un recours ou bien accepter cette amende.
