La CNIL sanctionne Free : mots de passe trop faibles, transmis et stockés en clair, violations de données…

Free doxe
Droit 13 min
La CNIL sanctionne Free : mots de passe trop faibles, transmis et stockés en clair, violations de données…
Crédits : PeopleImages/iStock

Après Free Mobile en janvier, la CNIL sanctionne sa maison mère à hauteur de 300 000 euros, pour avoir refusé de révéler l'identité de son ou ses courtiers de données à des plaignants ayant fait l'objet de prospects, et pour avoir transmis et stocké (en clair) les mots de passe (de 8 caractères) de ses clients, notamment. 

La CNIL vient de sanctionner Free d'une amende de 300 000 euros, pour quatre manquements aux articles 12, 15, 17, 32 et 33 du RGPD. Si la majeure partie d'entre eux ont depuis été résolus « dans le cadre de la procédure », elle enjoint la société de révéler l'identité de son ou ses courtiers de données d'ici à 3 mois, « sous astreinte de 500 euros par jour de retard ».

L'autorité de protection des données personnelles explique en effet avoir reçu plusieurs plaintes évoquant des difficultés rencontrées par des personnes dans la prise en compte, par l’opérateur de téléphonie fixe et d'accès à Internet Free, de leurs demandes d’accès et d’effacement de leurs données personnelles.

Or, des contrôles sur pièces et sur place ont non seulement confirmé ces manquements, mais également permis d'en découvrir d'autres, ayant trait à la sécurité des données, et plus particulièrement une « faible robustesse des mots de passe », un « stockage et transmission en clair des mots de passe », ainsi que la remise en circulation de 4 137 boîtiers Freebox « mal reconditionnés » et pouvant potentiellement comporter des données d'anciens abonnés dans leurs disques durs.

Pour rappel, Free Mobile avait déjà, lui aussi, fait l'objet d'une sanction de 300 000 euros en janvier 2022 pour avoir, là aussi, manqué à l’obligation de droit d’accès, de droit d'opposition, ainsi que pour avoir transmis par courriel, en clair, les mots de passe de ses utilisateurs, sans qu'ils soient temporaires et sans que la société impose d’en changer.

Des « erreurs humaines isolées »

Dans sa délibération, la formation restreinte de la CNIL précise avoir reçu, entre octobre 2018 et novembre 2019, 41 plaintes à l'encontre de Free, dont 10 ont été examinées dans le cadre de cette procédure de sanction. Cinq portaient « notamment sur l’accès aux données à caractère personnel », et quatre « plus particulièrement l’obtention d’une information sur la source » d’où provenaient les données personnelles les concernant.

Or, constate le rapporteur de la formation restreinte de la CNIL, Free n’a soit pas donné suite dans les délais prescrits aux demandes précitées des plaignants (à savoir un mois maximum), soit leur a apporté une réponse incomplète s’agissant de la provenance de leurs données personnelles.

En défense, Free plaide des « erreurs humaines isolées » d'une part, faisant d'autre part valoir que la CNIL lui reprochait de ne pas avoir répondu dans les temps à deux plaintes seulement, sur les « environ 600 » qu'elle reçoit par an.

« Enfin, la société indique que ces saisines sont antérieures à la mise en place d’un nouvel outil de ticketing qu’elle utilise depuis juin 2019, qui a permis d’apporter des améliorations à la procédure de traitement des demandes d’exercice de droit. »

Free oppose à la CNIL le « secret des affaires »

S’agissant des demandes d’informations sur la source des données, Free oppose à la CNIL le « secret des affaires » pour refuser de révéler l’identité du courtier. 

À quoi la formation restreinte rétorque que le « secret des affaires » s’applique uniquement à l’article 15-4 du RGPD, relatif aux personnes demandant une copie de leurs données, et non à l’article 15-1 du RGPD, relatif aux personnes demandant des informations à un responsable de traitement qui procède au traitement de leurs données : 

« En l’espèce, la formation restreinte note que les plaignants ne sollicitent pas de la société l’obtention d’une copie de leurs données ou l’accès à ces données, mais seulement une information quant à la source d’où proviennent leurs données. »

La formation restreinte considère, en outre, que le droit d’accès de la personne concernée constitue « une garantie fondamentale de la transparence des modalités de traitement des données », et en déduit que le responsable de traitement doit « par principe » communiquer « la source spécifique » relative aux données.

La limitation du droit d’accès aux indications de la « nature des sources, des types d’organismes, d’entreprises et de secteurs » ne saurait par ailleurs intervenir que lorsque le responsable du traitement ne détient pas cette information.

La formation restreinte estime cela dit que le refus de communiquer l’identité du courtier en données, alors que la société dispose de cette information, et de limiter le droit d’accès à la seule « source primaire » de la collecte, « revient à empêcher la personne concernée de pouvoir vérifier la licéité du traitement effectué par le responsable de traitement et, en particulier, la licéité des transmissions de données déjà effectuées » : 

« La formation restreinte considère, dès lors, que le droit de disposer de l’identité de la source des données est nécessaire pour permettre à la personne concernée de donner son consentement et d’exercer les droits qui lui sont conférés par le RGPD, en particulier le droit d’opposition, selon le type de prospection commerciale mise en œuvre par le responsable de traitement ayant obtenu les données auprès de courtiers. »

Free précise par ailleurs avoir depuis « fait évoluer ses procédures au cours de la procédure de sanction », et qu’elle sollicite désormais ses courtiers en données afin qu’ils lui transmettent l’identité de la source primaire à l’origine de cette collecte, information que la société transmet à son tour aux demandeurs.

La formation restreinte n'en considère pas moins que la société « n’a pas fourni, à la date de la clôture de l’instruction », d’éléments permettant d’attester d’une mise en conformité s’agissant spécifiquement du point relatif à la source des données.

Free devait répondre d'ici à un mois, mais ne l'a fait que trois ans plus tard

Deux autres plaignants avaient en outre demandé la suppression de leur compte de messagerie @free.fr en février 2019, via l’envoi d’un formulaire dédié à la « suppression d’un compte principal Free accès gratuit » sur lequel il était précisé que « la suppression effective des comptes nécessite un délai de 48 heures après réception du courrier ».

Or, non seulement les plaignants n'avaient pas obtenu de réponse à leurs demandes d’effacement formulées par lettre recommandée, mais les contrôles effectués par la CNIL lui ont permis de constater que la base client SIEBEL de Free contenait diverses données à caractère personnel propres aux plaignants, « telles que leur identifiant de connexion, leur nom, prénom et adresse postale ». En outre, le statut de leurs comptes de messagerie électronique free.fr y figurait comme « actif ».

Pour sa défense, Free fait d'abord valoir que les demandes de « suppression d’un compte » free accès gratuit « ne sont pas des demandes d’effacement au sens du RGPD et ne sont encadrées par aucun délai légal », mais qu'elles s’assimilent « à une demande de résiliation de contrat ».

De plus, elle estime être seulement tenue de « respecter le principe de limitation de la conservation des données concernées, sans que cela impose la suppression immédiate de toutes les données concernées ». Et ce, d'autant qu'elle doit par ailleurs respecter l'« obligation légale de conserver les données associées aux comptes de messagerie électronique pendant une durée de 1 an ».

La formation restreinte lui rétorque qu'elle avait cela dit comme autre obligation légale de répondre aux plaignants « dans un délai maximal d'un mois », mais qu'elle ne l'a fait qu'en mai 2022, soit trois ans plus tard, et un mois après avoir reçu le rapport détaillé de la CNIL.

De plus, le manquement est également avéré, au-delà même de l'obligation de conservation des données de connexion, « dès lors que le statut du compte était actif et que la messagerie électronique était encore accessible aux personnes concernées plusieurs années après avoir effectué leurs demandes ».

Des mots de passe (de 8 caractères) transmis (et stockés) en clair

Trois autres plaignants avaient saisi la CNIL au motif que le mot de passe associé aux comptes de messagerie électronique @free.fr était « transmis par courrier électronique ou postal à l’utilisateur et indiqué en clair dans le corps du message ».

Le rapporteur de la CNIL avait en outre pu constater que le mot de passe généré aléatoirement lors de la création d’un compte, lors d’une procédure de récupération ou lors d’un renouvellement du mot de passe, « est d’une longueur de huit caractères et peut comporter uniquement un même type de caractères ». 

Or, tant la CNIL que l'ANSSI avaient pourtant estimé que la robustesse d'un mot de passe relevait de sa longueur d'une part, et qu'il devait être d'« au moins 12 caractères », de sa complexité d'autre part, combinant majuscule, minuscule, chiffre et caractère spécial. 

En outre, la CNIL avait préconisé qu'en cas de mot de passe de 8 caractères, il devrait nécessairement contenir au moins trois de ces quatre catégories, mais également être accompagné d'une mesure supplémentaire de sécurité de type double authentification.

De plus, « l’ensemble des mots de passe [...] était stocké en clair dans la base de données des abonnés de la société jusqu’au 23 janvier 2020 ».

Les recommandations de la CNIL et l'ANSSI « n’ont aucun caractère impératif »

Free se défend en avançant qu'en tant que responsable de traitement, elle est « libre de choisir les mesures de sécurité à mettre en place », et que les recommandations de la CNIL et de l'ANSSI « n’ont aucun caractère impératif ». 

À quoi la formation restreinte rétorque que la recommandation de la CNIL relative aux mots de passe « n’a certes pas un caractère impératif » mais que ces « précautions élémentaires de sécurité correspondent à l’état de l’art », et constituent « un éclairage pertinent pour apprécier la suffisance des mesures mises en place par un responsable de traitement ».

Or, les mesures de sécurité mises en œuvre par free.fr n'étaient « pas adaptées au regard du risque que ferait peser sur la personne concernée la captation de leur identifiant et de leur mot de passe par un tiers », y compris par un employé mal intentionné, et donc que les mesures déployées pour garantir la sécurité des données étaient « insuffisantes ». 

Et ce, alors qu'il résulte de l’article 32 du RGPD que « le responsable de traitement est tenu de s’assurer que le traitement automatisé de données qu’il met en œuvre est suffisamment sécurisé ».

Free fait également valoir qu'à l'époque, les abonnés étaient par ailleurs incités à modifier leur mot de passe sur leur espace abonné. 

Elle indique avoir cela dit cessé de stocker les mots de passe en clair dans sa base de données, avoir également cessé de les transmettre en clair par courrier papier ou électronique, et que les mots de passe devront désormais être conformes aux préconisations de la CNIL.

Une obligation de moyens, pas de résultat ?

Free avait par ailleurs adressé à la CNIL en février 2019 deux notifications de violation de données à caractère personnel, reconnaissant que 4 137 Freebox « ont été remis en circulation sans que leur reconditionnement soit parfait », en raison notamment de « deux erreurs humaines » ayant conduit à la suppression d’une procédure appelée « séquence de test » destinée à effacer les données stockées sur les disques durs des Freebox.

Pour sa défense, Free fait valoir que « l’obligation de sécurité prévue par l’article 32 du RGPD est une obligation de moyen », qui ne lui imposerait uniquement que de mettre en œuvre des mesures de sécurité adaptées aux risques du traitement qu’elle effectue. 

Or, elle estime en l’espèce que les mesures mises en œuvre étaient suffisantes, à mesure qu'il n'existe qu'un « risque anecdotique que les Freebox soient détournées pour y stocker des données sensibles ».

Le fait qu'un seul abonné ait signalé ces faits reviendrait, à l'en croire, à ce qu'un seul accès « effectif à la vie privée d’un ancien abonné se soit réalisé », ce qui « reflète la probabilité limitée que ce risque se matérialise en pratique ».

La société considère en outre que la « gravité de cet incident doit être nuancée compte tenu de la nature des données usuellement stockées sur les Freebox » – qui se limitent principalement à l’enregistrement des programmes TV et marginalement au stockage de photos ou vidéos personnelles.

Free rappelle enfin qu’à l’issue de la campagne visant à rappeler les 4 137 boîtiers concernés, elle a adressé une Freebox de remplacement aux 322 abonnés n’ayant pas restitué leur Freebox et qu’en tout état de cause, celles-ci ont été désactivées en juillet 2022.

Free met trois ans à colmater un risque de violations de données

La formation restreinte lui rétorque que ce n’est pas la violation de données qui est en cause, mais l’insuffisance de mesures de sécurité qui a rendu possible l'incident en question.

Or, c'est précisément parce qu'un usager avait signalé à Free qu'il avait pu accéder à des données d'un précédent client que la société avait découvert l'incident, et donc que ses processus qualité de reconditionnement n'avaient pas été respectés, signe « révélateur de l’insuffisance de mesures techniques et organisationnelles mises en œuvre ».

De plus, l'envoi de 322 Freebox de remplacement aux abonnés ne les ayant pas retournées n'empêche aucunement qu'ils n'aient pu, entre-temps, accéder aux données d'anciens abonnés y figurant : 

« En effet, à la date du 31 mars 2022 – soit plus de trois ans après le signalement de l’incident – la société indiquait que ce risque n’était toujours pas écarté puisque "322 [boîtiers] sont toujours utilisés par les abonnés sans que nous [la société] sachions si les données enregistrées sont celles de l’abonné antérieur ou de l’abonné qui l’utilise" ».

En outre, la désactivation de ces 322 Freebox non restituées, qui a de fait permis d’écarter ce risque, n'a eu lieu qu'en juillet 2022, « soit plus de trois ans après le signalement de l’incident ».

Free devra révéler aux plaignants l'identité de son ou ses courtiers de données

La formation restreinte relève au surplus que Free n’avait pas documenté l'incident au sein d’un registre de violation de données, pas plus qu'elle n'avait documenté le fait d'avoir correctement rapatrié l'ensemble des 4 137 Freebox mal reconditionnées et, le cas échéant, à quelle date, empêchant les contrôleurs de la CNIL de pouvoir estimer la portée du problème, ni s'il avait été résolu : 

« Or, la formation restreinte relève qu’il ressort du principe de responsabilité posé par le RGPD que le responsable de traitement doit suffisamment documenter ses pratiques pour être en mesure de démontrer sa conformité. »

Après avoir relevé que, « dans le cadre de la présente procédure », Free a justifié avoir pris des mesures pour se mettre en conformité avec la majeure partie des obligations découlant du RGPD, la formation restreinte n'en a pas moins décidé de prononcer une injonction l'obligeant à « apporter une réponse exhaustive » aux 4 plaignants réclamant « l'identité du courtier en données à partir duquel elle a obtenu les données des personnes concernées ». 

Et ce, sous peine d'une astreinte de 500 euros par jour de retard à l’issue d’un délai d’un mois suivant la notification de la présente délibération, « qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication ».

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !