En mars 2018, la Cnil a reçu un signalement l’informant de l’existence d’un incident de sécurité qui conduisait à rendre librement accessibles les données personnelles de clients de la marque B&You, détenues par la société Bouygues Telecom. Dans les jours suivants, cette dernière a notifié la violation de données à la Cnil.
En effet, un contrôle a été réalisé dans les locaux de l’opérateur. Ce contrôle a permis de confirmer l’existence d’une vulnérabilité permettant d’accéder à des contrats et factures de clients B&You par la simple modification d’une adresse URL sur le site web de Bouygues Telecom. Ce défaut de sécurité a impacté les données de plus de deux millions de clients B&You pendant plus de deux ans. Après en avoir été informé, l’opérateur a rapidement corrigé la vulnérabilité et les données personnelles des clients n’étaient plus librement accessibles.
Par conséquent, le 26 décembre 2018, la formation restreinte de la Cnil a prononcé une sanction pécuniaire d’un montant de 250.000 , considérant que la société avait manqué à son obligation d’assurer la sécurité des données personnelles des utilisateurs de son site, conformément à l’article 34 de la loi Informatique et Libertés.
La sanction prononcée par la formation restreinte concerne des faits s’étant entièrement déroulés avant l’entrée en application du règlement européen sur la protection des données personnelles.