La CNIL a prononcé une sanction de 250 000 € à l'encontre de Bouygues Telecom pour « manquement à la sécurité des données ». C'est la conséquence de la découverte d'une faille de sécurité présente pendant plus de deux ans sur le site de bouyguestelecom.fr.
En changeant simplement un numéro dans l'URL menant à un compte client, numéro qui correspondait à un contrat d'abonnement, on pouvait accéder aux informations d'un autre abonné : nom, prénom, date de naissance, adresse de courrier électronique, adresse physique, numéro de téléphone mobile.
Des informations d'une sensibilité relative mais ce sont ainsi plus de deux millions d'abonnés qui ont été potentiellement concernés.
L'erreur s'est produite au moment de la fusion des marques Bouygues et B&You. Une base contenant les archives des contrats d'anciens abonnés de B&You avait été conservée par l'opérateur pour laisser la possibilité aux gens de revoir leurs contrats et anciennes factures.
Lors d'un test réalisé pendant cette fusion, un développeur a omis de rétablir le code imposant une authentification utilisateur pour accéder à un autre contrat. La portion de code en question était commentée sur son utilité mais cette erreur humaine s'est doublée d'un manque de vigilance.
En mars 2018, à quelques jours d'intervalle, la CNIL puis Bouygues ont été prévenus de l'existence de ce problème. L'opérateur a réagi rapidement et la CNIL a procédé par la suite à une inspection validant les correctifs apportés. Ce manquement a été néanmoins sanctionné — initialement l'amende était prévue à 500 000 € — au vu du nombre de clients concernés et par la durée de l'existence de cette faille.
