Mot de passe envoyé en clair : on dépose une plainte à la CNIL et… rien ne bouge
Forcément, je n’avais pas le laisser passer A38…

La Scam envoie depuis au moins deux ans des mots de passe en clair, par email. Après avoir contacté le DPO sans changement visible, nous avons déposé plainte à la CNIL. On vous raconte ici notre histoire… qui se termine en eau de boudin.
Le 29 janvier à 12h50
8 min
Droit
Droit
En juin, la Société civile des auteurs multimédia (Scam) expliquait avoir « été victime d'une cyberattaque de type ransomware », en prenant soin de préciser que c’était malgré des efforts « soutenus en matière de prévention et de protection ».
En 2025, la Scam envoie toujours les mots de passe en clair
Nous étions alors assez surpris de voir que les mots de passe étaient renvoyés en clair durant la procédure de mot de passe perdu, avec l’identifiant en prime dans le même courriel. Si votre boîte email est compromise, c’est la catastrophe. Cette pratique est encore en place ce jour, d’après nos constatations.
Si personne ne peut se prétendre être à l'abri d’une cyberattaque (la fin de l’année 2024 et le début de 2025 le prouvent bien), on peut/doit faire son maximum pour limiter les risques. Un point important concerne justement la gestion des mots de passe des utilisateurs. La règle est simple : il ne doit pas être stocké ni envoyé en clair par email. Free a d’ailleurs été condamné pour ces pratiques (entre autres) par la CNIL.
Rappel : « les mots de passe ne doivent jamais être stockés en clair »
Les recommandations de la CNIL sont limpides : « Les mots de passe ne doivent jamais être stockés en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé ».
Dans le cas de la Scam, la Société peut d’une manière ou d’une autre accéder aux mots de passe. Soit ils sont stockés en clair, soit ils sont chiffrés mais déchiffrables, alors que cela ne devrait pas être le cas. Suite à notre actualité sur le sujet l'été dernier, nous avions contacté le DPO de la Scam le 21 juin, avec plusieurs questions (et une copie de l’email contenant le mot de passe en clair) :
Il reste 73% de l'article à découvrir.
Déjà abonné ? Se connecter

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.
Accédez en illimité aux articles
Profitez d'un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousMot de passe envoyé en clair : on dépose une plainte à la CNIL et… rien ne bouge
-
En 2025, la Scam envoie toujours les mots de passe en clair
-
Rappel : « les mots de passe ne doivent jamais être stockés en clair »
-
Le DPO transmet notre demande… et rien
-
On dépose une plainte en ligne à la CNIL
-
La CNIL rappelle à l’ordre la Scam et clôt le dossier
-
…alors que rien n’a changé
-
Le manque d’action de la CNIL dénoncé par certains
Commentaires (28)
Le 29/01/2025 à 13h29
L'amende n'est pas une obligation, le rappel à l'ordre est bien dans les pouvoirs qui lui sont attribués (2 de l'article 58). Donc la réclamation a été traitée.
Pour continuer, le mieux est de laisser un temps raisonnable à la SCAM pour corriger sa gestion des mots de passe (3 mois par exemple) puis de tester à nouveau.
Si rien n'a changer, recommencer : passage par le dpo en le mettant en demeure de faire la modification très rapidement vu qu'ils ont déjà eu 3 mois. puis si réponse non satisfaisant ou absence de réponse sous un mois (de mémoire), nouvelle plainte à la CNIL en lui indiquant bien que ta première demande est restée sans effet et en demandant une sanction plus forte donc une amende (ça ne coûte rien de demander et ça permettra d'avoir un argument pour aller devant le Conseil d''État la fois d'après).
Si la CNIL ne fait rien de plus que la première fois, là, il sera utile de pousser l'affaire devant le Conseil d'État en se faisant aider si besoin (on doit pouvoir trouver un lecteur qui sait faire (ou ancien collègue
Le 29/01/2025 à 13h37
Cependant, cela ne m'empêche pas de trouver très légère la réaction de la CNIL pour un manquement qui fait partie de la base de l'état de l'art depuis plus de 15 ans maintenant.
La SCAM, dès que le DPO a été notifié initialement, aurait du réagir rapidement au sujet du stockage des mots de passe. Ce qui n'a pas été le cas. Dans un monde idéal, la CNIL en aurait tenu compte
Le 29/01/2025 à 13h51
Je ne pense pas que l'on puisse demander au Conseil d'État une sanction plus forte si la CNIL a décidé qu'un rappel à l'ordre suffisait. On n'est pas "partie" dans le cadre d'une réclamation à la CNIL.
Par contre, rien n'empêche de poursuivre directement la SCAM comme le rappelle le RGPD dans son article 79. Cela peut se faire en parallèle de la plainte à la CNIL mais ça nécessite plus de connaissances juridiques.
Mais, moi aussi j'aimerais que la CNIL sanctionne plus avec des amendes (dissuasives comme le dit le RGPD).
Le 29/01/2025 à 13h55
Le 29/01/2025 à 14h03
Le but est que ta seconde plainte ne soit pas rejetée parce que trop rapprochée de la première.
Ta demande initiale n'a que peu de valeur pour la CNIL qui n'en a pas tenu compte la première fois puisqu'elle n'a pas sanctionné par une amende. Leur propre demande devrait avoir plus de valeur si tu la mets bien en évidence dans ta seconde plainte.
Le 29/01/2025 à 14h00
Si un auteur peut changer son RIB, qu'importe qu'il y a 10 ou 2000000 personnes de concernées. Le mot de passe qui est stockée de manière réversible, c'est juste une honte et devrait être durement sanctionné.
Le 29/01/2025 à 13h43
Devant une fuite de données, le responsable ne pourrait pas être condamné pour négligence si il ne chiffre pas les mots de passe?
Le 29/01/2025 à 13h29
Le 29/01/2025 à 13h31
Le 29/01/2025 à 13h49
Le 29/01/2025 à 13h58
Modifié le 29/01/2025 à 14h10
J'ai porté plainte aussi auprès de la CNIL début du mois mais j'ai peu d'espoir que ça change malheureusement.
Le 29/01/2025 à 14h24
Le 29/01/2025 à 14h37
Donc on reprend. Il est de jurisprudence constante que les autorités administratives disposent d'un large pouvoir d'appréciation en matière de traitement des plaintes qui leur parviennent (par exemple, sur l'ARCEP, https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2022-06-21/453266 à garder sous le coude lorsqu'un prochain papier survolera la régulation des communications électroniques). C'est le principe de la régulation sectorielle, que cela plaise ou non aux experts de canapé.
Illustration pour la CNIL avec ceci :
Et les premières décisions sur les recours évoqués dans l'article commencent à tomber, dans la lignée des précédentes.
Mais travailler le sujet, c'est trop demander visiblement.
Modifié le 29/01/2025 à 15h24
Pour autant, rien n’a changé : le mot de passe est toujours envoyé en clair et le DPO ne répond plus à mes messages.
Le 29/01/2025 à 15h36
Et que sur les procédures PURR, quitte à les mentionner dans l'article, il aurait été judicieux de faire état de la première décisions rendue spécifiquement sur cette question.
Enfin, le fait que la situation perdure malgré la clôture d'une plainte ne prive en aucun cas toute personne concernée soit (i) de saisir la CNIL d'une nouvelle plainte (ce qu'a encore expliqué le Conseil d'Etat à des plaignants qui trouvaient cela scandaleux ce manque d'action) (ii) d'intenter devant les juridictions civiles une action en réparation du préjudice subi (sur le fondement 1240 du code civil, et 1231-1 du code civil si c'est dans le cadre d'un contrat).
Le 29/01/2025 à 16h08
Modifié le 30/01/2025 à 23h12
"le bug est parfaitement normal, c'est implémenté comme ça , le code s’exécute correctement tel qu'il a été écrit".
L'article n'est pas un article de droit, il montre assez clairement (et probablement de manière assez représentative) que le processus actuel n'est pas efficace et ne permet pas dans le monde réel de faire en sorte que les violations soient réellement corrigées, que ce constat plaise ou non aux experts en droit ou aux fonctionnaires concernés.
Les détails juridiques importent peu au commun des mortels, tout comme la ligne de code qui cause le bug n'intéresse pas grand monde.
Le 29/01/2025 à 15h40
Pour le commun des mortels, une plainte à la CNIL c'est comme devant un tribunal alors que ce n'est pas le cas.
On en attend donc plus que de simples interventions après du fautif pour qu'il régularise alors que le RGPD est très clair sur l'éventail des choix possibles (ainsi que la jurisprudence du Conseil d'État dit aussi la même chose pour les autorités administratives).
Donc, si l'on veut porter plainte (vraiment), il faut le faire devant le tribunal compétent mais ce n'est pas le même effort.
Le 29/01/2025 à 14h46
Le 29/01/2025 à 16h48
Le 29/01/2025 à 18h44
Le premier avertissement de la CNIL devrait aussi être le dernier, du genre :
"Nous avons constaté un manquement, merci de vous mettre en conformité sous 3 mois ou l'amende de x% de votre CA tombera illico. En cas de problème pour la mise en conformité vous pouvez nous contacter et nous aménagerons si besoin le délais"
Je suis sûr que les réactions seraient beaucoup plus rapides, et la CNIL seraient moins débordée à devoir gérer plusieurs fois les mêmes plainte et "avertir" x fois les même boites.
Le 29/01/2025 à 18h47
Le 30/01/2025 à 11h45
Le 04/02/2025 à 16h48
Ça n'enlève pas le fait que le "mailer" peut lire ces mots de passe, mais ça retire la question du stockage non ? (Ou alors j'ai loupé un truc 🤔)
Modifié le 04/02/2025 à 22h09
Le 05/02/2025 à 08h19
Le 06/02/2025 à 08h50