Voici une bien mauvaise nouvelle pour l’opérateur en cette fin d’année. En effet, ce dernier vient d’être condamné par la CNIL à verser 250 000 euros pour non-respect de ses obligations en matière de sécurité des données . sanction. CNIL : 250 000 euros.
Elle estime que la firme n’a pas suffisamment protégé plus de deux millions de clients de B&You, pendant plus de deux ans. Pour cela, elle vise l’article 34 de la loi Informatique et Libertés et elle a également tenu compte de la grande réactivité de la firme. Elle précise aussi que « la sanction prononcée (…) concerne des faits s’étant entièrement déroulés avant l’entrée en application du règlement européen sur la protection des données personnelles [RGPD] ». Avec ce texte, l’amende aurait été bien plus importante.
En mars dernier, la Commission a découvert une faille de sécurité qui permettait « d’accéder à des contrats et factures de clients B&You par la simple modification d’une adresse URL sur le site web de Bouygues Telecom ». En l’espèce, la fonction d’authentification à l’espace client avait été désactivée pour les besoins d’un test mais n’avait pas été rétablie.
Le texte européen prévoit en effet des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise en cas de manquement grave à la sécurité des données des utilisateurs.
Quand la CNIL peut elle sanctionner ?
La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité française chargée de veiller au respect de la réglementation en matière de protection des données personnelles. En tant que telle, la CNIL a le pouvoir de sanctionner les entreprises ou les organisations qui ne respectent pas les dispositions du Règlement Général sur la Protection des Données (RGPD) ou les lois nationales en vigueur en matière de protection des données personnelles.
La CNIL peut infliger des sanctions en cas de manquements graves ou répétés à la réglementation en matière de protection des données personnelles. Les sanctions peuvent aller jusqu’à une amende maximale de 20 millions d’euros ou de 4% du chiffre d’affaires annuel mondial de l’entreprise, selon le montant le plus élevé. La CNIL peut également ordonner la mise en œuvre de mesures correctives pour remédier aux manquements constatés.
Il convient de souligner que la CNIL ne peut infliger des sanctions qu’après avoir mené une enquête approfondie et avoir constaté que l’entreprise ou l’organisation concernée a commis des manquements graves ou répétés à la réglementation en matière de protection des données personnelles. La CNIL doit également informer l’entreprise ou l’organisation concernée de ses constatations et lui donner l’opportunité de se défendre avant de prendre une décision de sanction.
