Les données personnelles des clients Be&You (offre « low cost ») étaient accessibles pendant deux ans depuis le site web.
En effet, la fonction d’authentification à l’espace client a été désactivée à la suite d’une erreur humaine. Il était donc possible de consulter les données de plus de 2 millions de clients en modifiant l’URL du site.
Le montant de l’amende est relativement faible compte tenu du fait que les sanctions pour manquement au RGPD peuvent aller jusqu’à 4 % du chiffre d’affaires. La CNIL a pris en compte la réactivité de l’opérateur dans la résolution de l’incident, ainsi que « les nombreuses mesures mises en place pour limiter les conséquences ».