La Cnil inflige une amende de 300 000 euros à l’opérateur Free pour de multiples infractions au RGPD. Parmi les manquements : une politique de gestion des mots de passe trop laxiste.

Au tour de Free de se faire coincer par la Commission nationale de l’informatique et des libertés (Cnil) pour des manquements au Règlement général sur la protection des données (RGPD). Dans un communiqué paru le 8 décembre, l’autorité française en charge de veiller au bon respect de la législation en matière de traitement des informations personnelles a épinglé l’opérateur.

Des faiblesses notables dans la gestion des mots de passe

Quatre grandes infractions ont été relevées, dont celle liée à l’obligation d’assurer la sécurité des données personnelles. En particulier, l’instance administrative a noté une politique insuffisante concernant les mots de passe, avec des procédures qui ne sont plus convenables en 2022. L’ensemble de ces violations a engendré une sanction pécuniaire de 300 000 euros d’amende.

Dans le détail, la Cnil a noté que :

  • Le mot de passe généré au moment de la création d’un nouveau compte sur le site du fournisseur d’accès à Internet était « insuffisamment robuste » ;
  • Cette même faiblesse a été relevée lors d’une procédure de récupération ou lors d’un renouvellement du mot de passe ;
La Freebox Delta. // Source : Ulrich Rozier pour Numerama
L’opérateur ne suivait pas les meilleures pratiques en matière de mot de passe. // Source : Ulrich Rozier pour Numerama
  • Tous les mots de passe générés lors de la création d’un compte depuis le site « était stocké en clair dans la base de données des abonnés de la société » ;
  • Les mots de passe nouvellement créés n’étaient ni temporaires ni sous le coup d’une obligation d’en changer ;
  • Ces mots de passe étaient transmis en clair par mail ou par courrier postal ;
  • Le mot de passe qui était associé au compte de messagerie électronique « free.fr » était transmis par la société par courriel ou courrier postal à l’utilisateur et indiqué en clair dans le corps du message ;

Dans la délibération de la Cnil, il est relevé que Free « a annoncé avoir pris plusieurs mesures pour se mettre en conformité avec les obligations […] s’agissant de la sécurité relative aux mots de passe ». Cela inclut le renforcement de la robustesse des codes générés et le renouvellement obligatoire lors d’une procédure de récupération ou dès la première connexion.

Par ailleurs, le stockage en clair des mots de passe dans sa base de données a pris fin, tout comme la transmission des mots de passe des nouveaux abonnés en clair par courriel. Des changements bienvenus et nécessaires pour revenir dans les clous du RGPD, mais qui n’absolvent pas l’opérateur de ces errements passés. La Cnil en a tenu compte dans sa sanction.

La sanction est modérée compte tenu des possibilités d’amende que permet le RGPD et au regard de la taille d’un groupe comme Free. Outre les 300 000 euros d’amende, et la dénonciation publique du groupe, la Cnil laisse trois mois au FAI pour se mettre en conformité sur tous les autres points. Sinon, elle fera l’objet d’une astreinte de 500 euros par jour de retard.

visuel_fibre_adsl2

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !