Au tour de Free de se faire coincer par la Commission nationale de l’informatique et des libertés (Cnil) pour des manquements au Règlement général sur la protection des données (RGPD). Dans un communiqué paru le 8 décembre, l’autorité française en charge de veiller au bon respect de la législation en matière de traitement des informations personnelles a épinglé l’opérateur.
Des faiblesses notables dans la gestion des mots de passe
Quatre grandes infractions ont été relevées, dont celle liée à l’obligation d’assurer la sécurité des données personnelles. En particulier, l’instance administrative a noté une politique insuffisante concernant les mots de passe, avec des procédures qui ne sont plus convenables en 2022. L’ensemble de ces violations a engendré une sanction pécuniaire de 300 000 euros d’amende.
Dans le détail, la Cnil a noté que :
- Le mot de passe généré au moment de la création d’un nouveau compte sur le site du fournisseur d’accès à Internet était « insuffisamment robuste » ;
- Cette même faiblesse a été relevée lors d’une procédure de récupération ou lors d’un renouvellement du mot de passe ;
- Tous les mots de passe générés lors de la création d’un compte depuis le site « était stocké en clair dans la base de données des abonnés de la société » ;
- Les mots de passe nouvellement créés n’étaient ni temporaires ni sous le coup d’une obligation d’en changer ;
- Ces mots de passe étaient transmis en clair par mail ou par courrier postal ;
- Le mot de passe qui était associé au compte de messagerie électronique « free.fr » était transmis par la société par courriel ou courrier postal à l’utilisateur et indiqué en clair dans le corps du message ;
Dans la délibération de la Cnil, il est relevé que Free « a annoncé avoir pris plusieurs mesures pour se mettre en conformité avec les obligations […] s’agissant de la sécurité relative aux mots de passe ». Cela inclut le renforcement de la robustesse des codes générés et le renouvellement obligatoire lors d’une procédure de récupération ou dès la première connexion.
Par ailleurs, le stockage en clair des mots de passe dans sa base de données a pris fin, tout comme la transmission des mots de passe des nouveaux abonnés en clair par courriel. Des changements bienvenus et nécessaires pour revenir dans les clous du RGPD, mais qui n’absolvent pas l’opérateur de ces errements passés. La Cnil en a tenu compte dans sa sanction.
La sanction est modérée compte tenu des possibilités d’amende que permet le RGPD et au regard de la taille d’un groupe comme Free. Outre les 300 000 euros d’amende, et la dénonciation publique du groupe, la Cnil laisse trois mois au FAI pour se mettre en conformité sur tous les autres points. Sinon, elle fera l’objet d’une astreinte de 500 euros par jour de retard.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !