Après signalement en mars 2018, la CNIL avait enquêté sur un défaut de protection de certaines données personnelles de quelque deux millions de clients de B&You et avait constaté après contrôle "l'existence d'une vulnérabilité permettant d'accéder à des contrats et factures de clients B&You par la simple modification d'une adresse URL sur le site Web de Bouygues Telecom".
Observant que cette faille était active depuis deux ans et malgré une correction rapide de l'opérateur après en avoir été alerté, la Commission a prononcé une sanction de 250 000 € contre Bouygues Telecom, estimant que "la société avait manqué à son obligation d'assurer la sécurité des données personnelles des utilisateurs de son site".
L'origine de la vulnérabilité vient de l'oubli de la remise en service de la fonction d'authentification à l'espace client après une phase de test et la CNIL a considéré que l'opérateur aurait dû vérifier le bon fonctionnement de l'authentification, en l'absence de mesures complémentaires de sécurité.
Dans le même temps, elle prend acte de la réactivité de Bouygues Telecom dans la résolution du problème une fois découvert et dans la mise en place de mesures pour limiter les conséquences de l'incident de sécurité et note que les faits se sont déroulés avant l'entrée en vigueur du RGPD.
Et pour rappel, B&You propose toujours un forfait en série spéciale sans engagement proposé à 9,99 € / mois jusqu'au 2 janvier 2019. Il intègre appels et SMS / MMS illimités mais aussi 40 Go de data mobile mensuelle, ainsi que 4 Go par mois en itinérance et son prix ne changera pas une fois au bout de 12 mois comme c'est souvent le cas chez la concurrence.
