În martie 2018, CNIL, autoritatea franceză pentru supravegherea prelucrărilor de date cu caracter personal, a fost sesizată cu privire la existența unui incident de securitate, care a avut drept consecință accesul neautorizat la date cu caracter personal prelucrate de societatea B&You, parte a grupului Bouygues Telecom. În următoarele zile, și societatea în cauză a notificat CNIL cu privire la incidentul de securitate.
Un control efectuat la sediul B&You a confirmat existența unei vulnerabilități care permitea accesul la contracte și facturi ale clienților B & You, prin simpla modificarea a unei adrese URL pe site-ul Bouygues Telecom. Incidentul de securitate a afectat datele a peste 2 milioane de clienți B&You, pe o perioadă de peste doi ani. După ce a fost informat, operatorul a corectat rapid vulnerabilitatea, asigurând protecția adecvată a datelor personale ale clienților.
Pentru incidentul creat, CNIL a sancționat B&You cu suma de 250 000 de euro, considerând că societatea și-a încălcat obligația de a asigura securitatea datelor personale ale utilizatorilor site-ului său. Autoritatea a constatat că incidentul de securitate provenea din nereactivarea pe site, după o fază de testare, a funcției de autentificare din zona Clienți, funcție care fusese dezactivată tocmai pentru a permite testarea în cauză. CNIL a considerat că era în sarcina societății să fie deosebit de vigilentă cu privire la eficacitatea mecanismului său de autentificare, având în vedere alegerea sa de a nu pune în aplicare măsuri de securitate suplimentare.
În favoarea societății operatoare de date personale s-a reținut reactivitatea ridicată în rezolvarea incidentului de securitate, precum și numeroasele măsuri introduse de companie pentru a limita consecințele acestuia.
Sursa www.cnil.fr