Free Mobile jugeait convenable d'envoyer des mots de passe en clair, et puis l'amende est arrivée
Nous sommes en 2022 et il y a encore des entreprises qui considèrent qu'il est judicieux d'envoyer des mots de passe en clair par mail, c'est-à-dire sans aucune protection particulière.
Des mots de passe envoyés en clair par mail
La décision prise par la Commission nationale de l'informatique et des libertés (Cnil), qui date en fait du 28 décembre 2021, mais dont la publicité ne survient qu'aujourd'hui, punit quatre infractions au Règlement général de la protection des données (RGPD), mais celle qui retient le plus l'attention est celle des mots de passe. La Cnil y a vu ici une faute dans l'obligation de l'opérateur de téléphonie mobile à assurer un niveau de sécurité satisfaisant.
L'ampleur de ce problème aurait certes pu être nuancée, si Free Mobile avait fait en sorte que ces mots de passe en clair soient temporaires et ajouté l'obligation d'en changer au moment de la première connexion à l'espace client. Il n'en a rien été, relève la Cnil, qui a fait ces constats en contrôlant l'entreprise dans ses locaux, mais aussi en tenant compte de pièces qui lui ont été remontées.
Dans sa décision, la Cnil constate néanmoins que le problème des mots de passe s'est avéré assez limité, et c'est heureux. Ainsi, écrit l'autorité, « Ces manquements ne peuvent aucunement être regardés comme ayant un caractère systémique ». Elle n'a dénombré que sept plaintes en ce sens et que cette le problème a depuis été résolu. Autant de facteurs qui explique la tempérance dans le niveau de la sanction.
Le risque d'un mot de passe en clair sur une boîte mail est qu'il puisse être vu par un tiers, par-dessus l'épaule ou en cas de piratage de son service de messagerie -- ce ne sont certes pas des cas de figure qui arrivent tout le temps, surtout si le webmail est protégé par l'authentification à deux facteurs, mais c'est une mauvaise politique que de miser sur la sécurité des autres.
L'amende de 300 000 euros, modeste par rapport à la taille d'un groupe comme Free Mobile, ne sanctionne pas que ce souci de mots de passe en clair. Trois autres infractions au RGPD sont couvertes par cette sanction :
Une faute dans le droit d'opposition des personnes : des clients avaient demandé à ne plus recevoir de prospection commerciale, mais en recevaient quand même ;
Un manquement dans le droit d'accès : des individus voulaient obtenir des données les concernant, mais Free Mobile n'a pas favorablement répondu dans les délais ;
Un raté dans la conception et le traitement des données : Free Mobile adressait encore des factures à des personnes qui avaient résilié leur abonnement.
Mais si la sanction est réduite, du fait d'un volume de plaintes réduit, elle est accompagnée toutefois d'une révélation de la part de la Cnil, qui a décidé d'en informer le public : cela est justifié « par la nécessité de rappeler l’importance de traiter les demandes de droit des personnes et la sécurité des données des utilisateurs ». Parce qu'en 2022, envoyer en clair des mots de passe permanents n'est plus admissible.
Tous les manquements ont été corrigés.
(mise à jour de l'article afin de signifier plus clairement que la décision rendue par la Cnil est plus nuancée, notamment sur l'ampleur de l'incident concernant les mots de passe)