[BreachExchange] BOUYGUES TELECOM: financial penalty for breach of customer data security

[Destry Winant]

https://www.cnil.fr/fr/bouygues-telecom-sanction-pecuniaire-pour-manquement-la-securite-des-donnees-clients

English Translation:

In March 2018, the CNIL received a report informing it of the
existence of a security incident which led to making freely accessible
the personal data of customers of the B & You brand, held by BOUYGUES
TELECOM. In the following days, the latter notified the data breach to
the CNIL.

A check was made in the premises of the operator. This check confirmed
the existence of a vulnerability allowing access to contracts and
invoices of B & You customers by simply modifying a URL address on the
BOUYGUES TELECOM website. This security flaw has impacted the data of
more than two million B & You customers for more than two years.

After being informed, the operator quickly corrected the vulnerability
and the personal data of the customers were no longer freely
accessible.
The restricted training of the CNIL imposed a financial penalty of 250
000 euros, considering that the company had breached its obligation to
ensure the security of the personal data of users of its site, in
accordance with Article 34 of the the law Informatique et Libertés .


Restricted training found that the security defect originated in the
failure to reactivate on the site, after a test phase, the
authentication function in the customer area which had been
deactivated for the sole purpose of these tests . However, it
considered that it was up to the company to be particularly vigilant
as to the effectiveness of its authentication mechanism, given its
choice not to put in place additional security measures.


The restricted training took into account the high reactivity of the
operator in the resolution of the security incident as well as the
numerous measures put in place by the company to limit its
consequences.


The sanction imposed by the restricted training concerns facts that
took place entirely before the entry into force of the European
regulation on the protection of personal data.


Original Text in French:

BOUYGUES TELECOM : sanction pécuniaire pour manquement à la sécurité
des données clients

En mars 2018, la CNIL a reçu un signalement l’informant de l’existence
d’un incident de sécurité qui conduisait à rendre librement
accessibles les données personnelles de clients de la marque B&You,
détenues par la société BOUYGUES TELECOM. Dans les jours suivants,
cette dernière a notifié la violation de données à la CNIL.

Un contrôle a été réalisé dans les locaux de l’opérateur. Ce contrôle
a permis de confirmer l’existence d’une vulnérabilité permettant
d’accéder à des contrats et factures de clients B&You par la simple
modification d’une adresse URL sur le site web de BOUYGUES TELECOM. Ce
défaut de sécurité a impacté les données de plus de deux millions de
clients B&You pendant plus de deux ans. Après en avoir été informé,
l’opérateur a rapidement corrigé la vulnérabilité et les données
personnelles des clients n’étaient plus librement accessibles.

La formation restreinte de la CNIL a prononcé une sanction pécuniaire
d’un montant de 250 000 euros, considérant que la société avait manqué
à son obligation d’assurer la sécurité des données personnelles des
utilisateurs de son site, conformément à l’article 34 de la loi
Informatique et Libertés.

La formation restreinte a constaté que le défaut de sécurité trouvait
son origine dans l’oubli de réactiver sur le site, après une phase de
test, la fonction d’authentification à l’espace client qui avait été
désactivée pour les seuls besoins de ces tests.  Elle a estimé
néanmoins qu’il appartenait à la société d’être particulièrement
vigilante quant à l’effectivité de son mécanisme d’authentification,
compte tenu de son choix de ne pas mettre en place de mesure de
sécurité complémentaire.

La formation restreinte a tenu compte de la grande réactivité de
l’opérateur dans la résolution de l’incident de sécurité ainsi que des
nombreuses mesures mises en place par la société pour limiter ses
conséquences.

La sanction prononcée par la formation restreinte concerne des faits
s’étant entièrement déroulés avant l’entrée en application du
règlement européen sur la protection des données personnelles.