Certaines entreprises ont persisté, ces dernières années, à stocker les mots de passe de leurs utilisateurs en clair. La Cnil vient de condamner Free à une amende de 300 000 € dans une délibération rendue publique jeudi 8 décembre 2022. La Commission nationale de l’informatique et des libertés a observé plusieurs manquements graves au RGPD lors de contrôles au sein de la société.
Aucune procédure de chiffrement
La filiale du groupe Iliad n’a pas respecté ses obligations en matière de sécurité des données personnelles. Tous les mots de passe générés par la création d’un compte utilisateur sur le site web de Free finissaient par être stockés en clair dans une base de données. Aucun chiffrement n’était utilisé afin de sécuriser un tant soit peu les données des clients. Ce manque de vigilance aurait pu conduire, en cas de fuite de données, à une véritable catastrophe. La Cnil avait épinglé EDF le 29 novembre dernier pour des manquements similaires.
Dans le même temps, les mots de passe générés « lors de la création d’un compte utilisateur sur le site web de la société, lors d’une procédure de récupération ou lors d’un renouvellement » étaient faibles. En clair, la complexité du mot de passe n’était pas assez élevée. Une défaillance qui facilite les attaques par force brute. Les identifiants étaient transmis par courriel ou voie postale, en clair également, tout comme le mot de passe « associé au compte de messagerie électronique free.fr. » Une communication dangereuse, d’autant plus que Free n’imposait pas une temporalité maximale dans l’utilisation des mots de passe ni d’obligation de changement.
Des Freebox mal réinitialisées
Free est en outre accusé par la Cnil d’avoir bâclé les « mesures techniques et organisationnelles du processus de reconditionnement » d’environ 4100 boîtiers Freebox. Lors d’une réattribution du matériel télécom, la société ne réinitialisait pas systématiquement les appareils. Des données telles que « des photos, des vidéos personnelles ou l’enregistrement des programmes de télévision » pouvaient être encore présentes à l’arrivée de la box chez un nouveau client. Une violation des données personnelles de certains utilisateurs qui n’a pas été documentée par Free.
L’opérateur est également visé par des manquements à l’obligation de respecter les droits d’accès et d’effacement. Free n’aurait pas répondu à temps ou aurait apporté des réponses incomplètes à plusieurs personnes, après des demandes d’accès aux données personnelles. De même, l’effacement des informations de plusieurs plaignants n’aurait pas été effectué dans les délais.
Au total, la Cnil recense quatre manquements au RGPD, le règlement général sur la protection des données européen. L’opérateur s’est mis en règle sur la sécurité des données personnelles de ses abonnés. En revanche, le respect du droit d’accès fait l’objet d’une « injonction de mise en conformité« . Une opération qui oblige Free à justifier de ses actions en la matière « sous un délai de trois mois à compter de la notification de la délibération« , faute de quoi l’opérateur se verra infliger une « astreinte de 500 € par jour de retard. »
Dans un communiqué relayé par Le Monde, Free dit regretter la décision de la Cnil. Cette dernière « sanctionne des faits passés, intervenus durant les premiers mois de l’entrée en vigueur du règlement général sur la protection des données (2018-2019)« . Et d’assurer : « Les mesures nécessaires à la mise en conformité de la société ont été prises depuis les faits. » L’opérateur analyse actuellement « les suites à donner à cette décision, regrettant que la Cnil ait sanctionné une période pendant laquelle elle déclarait préférer l’accompagnement à la sanction. »
