Connexion
Abonnez-vous

La CNIL impose une sanction de 300 000 euros à l’encontre de Free Mobile

La CNIL impose une sanction de 300 000 euros à l'encontre de Free Mobile

Le 04 janvier 2022 à 09h35

Il est notamment reproché à l’opérateur de ne pas avoir respecté les droits des personnes et la sécurité des données de ses utilisateurs.

Saisie de plusieurs plaintes, un contrôle sur place et un contrôle sur pièces ont permis de constater des manquements aux droits des personnes concernées (droit d’accès et droit d’opposition), à l’obligation de protéger les données dès la conception ainsi qu’à la sécurité des données (transmission des mots de passe en clair par courriel), explique la CNIL, qui a retenu quatre manquements au RGPD à l’encontre de la société Free Mobile :

  • un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par les plaignants dans les délais ;
  • un manquement à l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), puisque la société n’a pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé ;
  • un manquement à l’obligation de protéger les données dès la conception (art. 25 du RGPD), puisque la société a continué d’envoyer à des plaignants des factures concernant des lignes téléphoniques dont l’abonnement avait pourtant été résilié ;
  • un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), puisque la société transmettait par courriel, en clair, les mots de passe des utilisateurs lors de leur souscription à une offre auprès de la société Free Mobile, sans que ces mots de passe soient temporaires et que la société impose d’en changer.

Le 04 janvier 2022 à 09h35

Commentaires (24)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Free “tout court” envoie aussi les mots de passe en clair par email lorsque l’utilisateur dit l’avoir oublié sur la page de login…

votre avatar

un manquement à l’obligation de protéger les données dès la conception (art. 25 du RGPD), puisque la société a continué d’envoyer à des plaignants des factures concernant des lignes téléphoniques dont l’abonnement avait pourtant été résilié


Je ne vois pas bien le rapport entre la protection des données et la facturation de contrat résilié. :keskidit:

votre avatar

Oui pareil.
De plus il faudrait définir “dès la conception” : Free envoie des mots de passe en clair par courrier depuis des années, c’était déjà le cas à l’époque des forfaits 56k, quand on créait un compte pour avoir un e-mail gratuit et un petit espace d’hébergement (ça date ! :phibee:). La “conception” a cette époque ne s’embarassait pas du RGPD, et pour cause, il a été créé presque 20 ans plus tard. Dès lors, il faudrait corriger l’envoi en clair, mais ça n’a rien à voir avec la conception (comme la facturation des lignes résiliées). Je ne dois pas avoir la même notion de la conception que le rédacteur.

votre avatar

Il s’agit d’un problème de processus / application dont la conception n’a pris en compte la vérification de l’intégrité des informations lors de la résiliation d’une ligne.
Dans le cas présent, quand un client annule une ligne, cette ligne ne devrait plus du tout être liée au données personnelles du client sans que le client est des actions à faire en plus de son côté.
Le fait que la facture indique que la ligne est toujours attribuée au client est considéré comme de la données personnelles non intègres et donc contraire au RGPD.

votre avatar

Mauvaise « protection contre le traitement non autorisé ou illicite », imposé par le RGPD (mais c’est l’article 5, pas 25) ?

votre avatar

un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par les plaignants dans les délais ;
un manquement à l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), puisque la société n’a pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé ;


:incline:

votre avatar

Enfin une condamnation pour un envoi de mots de passe en clair!!
J’espère que cela fera réfléchir les services informatiques!!

votre avatar

Soriatane a dit:


Enfin une condamnation pour un envoi de mots de passe en clair!!


Le problème ici est surtout d’avoir envoyez un mot de passe non temporaire où l’entreprise n’impose pas le changement pour activer le compte, malheureusement, l’envoi du mot de passe en clair par mail ou SMS reste le moyen le plus simple pour que n’importe quel client le reçoive.

votre avatar

Si on arrive à t’envoyer ton mot de passe en clair, c’est qu’il est stocké en clair ou non chiffré par un processus asymétrique, ce qui est inacceptable en terme de sécurité.

votre avatar

Ici on parle uniquement du mot de passe lors de la création du compte. Il est sans doute généré, envoyé, puis hashé pour être mis en BDD.

votre avatar

Soriatane a dit:


Enfin une condamnation pour un envoi de mots de passe en clair!! J’espère que cela fera réfléchir les services informatiques!!


300 000 balles pour free, c’est pas une condamnation, juste une tape sur les doigts

votre avatar

Je viens de tester une souscription : le mot de passe est toujours transmis en clair…



Ils ont un délai pour se mettre en conformité ?

votre avatar

legifrance.gouv.fr République Française(point III, 2°)




2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’État, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;


Plus bas (point 121) :




Comme indiqué précédemment, la formation restreinte relève que la société a pris des mesures de mise en conformité de ses traitements avec les dispositions des articles 12, 15, 21, 25 et 32 du RGPD. Elle considère dès lors qu’il n’y a plus lieu de prononcer d’injonction.


Si c’est toujours en clair, il est possible de faire une plainte sur le site de la CNIL.

votre avatar

Cumbalero a dit:


Si on arrive à t’envoyer ton mot de passe en clair, c’est qu’il est stocké en clair ou non chiffré par un processus asymétrique, ce qui est inacceptable en terme de sécurité.


D’où la réponse de la CNIL :




un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), puisque la société transmettait par courriel, en clair, les mots de passe des utilisateurs lors de leur souscription à une offre auprès de la société Free Mobile, sans que ces mots de passe soient temporaires et que la société impose d’en changer.


Il faudrait qu’aucuns mots de passe clients ne soient stockés indéfiniment dans les serveurs de Free, et ça serait le cas avec des mots de passes temporaires, je suis chez Free Mobile et j’ai changé le mot de passe que Free m’a envoyé.

votre avatar

QTrEIX a dit:


D’où la réponse de la CNIL :



Il faudrait qu’aucuns mots de passe clients ne soient stockés indéfiniment dans les serveurs de Free,


Comment tu fais pour t’authentifier si le mot de passe n’est pas stocké ? Il faut qu’il le soit de façon sûre.

votre avatar

Tu ne stockes pas le mot de passe mais son empreinte (hash).

votre avatar

On est d’accord, je me suis mal exprimé. :chinois:

votre avatar

xertux a dit:


Il s’agit d’un problème de processus / application dont la conception n’a pris en compte la vérification de l’intégrité des informations lors de la résiliation d’une ligne. Dans le cas présent, quand un client annule une ligne, cette ligne ne devrait plus du tout être liée au données personnelles du client sans que le client est des actions à faire en plus de son côté. Le fait que la facture indique que la ligne est toujours attribuée au client est considéré comme de la données personnelles non intègres et donc contraire au RGPD.


Hmm… pas clair. S’il y a un contentieux sur le paiement d’une ligne (même résiliée), ca me parait normal que le nom du client soit conservé par la société et communiqué dans les courriers.



Si c’est un autre client qui reçoit une facture avec le nom du client précédent (ré-utilisation d’une ligne résiliée), alors là oui c’est un problème. :D

votre avatar

Oui, l’entreprise peut garder les données clientes en cas de contentieux, mais dans ce cas, ça passe dans un autre processus de l’entreprise donc pas les mêmes traitements et données personnelles utilisées.



Mais dans le cas présent, nous parlons d’une donnée bien précise stockée sur une facture, et non stockée dans l’ERP, CRM, BDD, etc. Logiquement, c’est la même, mais RGPDémment ce n’est pas la même car pas le même support, traitement, base légale, etc. :mad2:

votre avatar

Cumbalero a dit:


Si on arrive à t’envoyer ton mot de passe en clair, c’est qu’il est stocké en clair ou non chiffré par un processus asymétrique, ce qui est inacceptable en terme de sécurité.


Il pourrait être stocké chiffré dans un HSM (hardware security module), rendant impossible un dump des mots de passe. La comparaison pourrait se faire dans le module. (bon, je vois pas pourquoi quelqu’un ferait ça plutôt que stocker un hash)
Problème : si le site propose de le retourner en clair, son code pourrait être compromis pour récupérer des mots de passe.

votre avatar

Mathisca a dit:


Ici on parle uniquement du mot de passe lors de la création du compte. Il est sans doute généré, envoyé, puis hashé pour être mis en BDD.


Absolument pas ^^



Fais une demande de mdp perdu chez Free, et tu verras qu’ils te renverront ton mdp, et pas un nouveau. Donc il est stocké en clair. J’avais même informé un certain NXI y’a des années, mais visiblement ca les interessait pas :x

votre avatar

Il est pas forcément stocké en clair, mais dans ce cas il y a forcément la clé sur les serveurs pour le déchiffrer lorsque tu fais la demande (c’est pas beaucoup mieux).

votre avatar

Mathisca a dit:


Ici on parle uniquement du mot de passe lors de la création du compte. Il est sans doute généré, envoyé, puis hashé pour être mis en BDD.


Non, ce n’est pas le cas, Free peut te renvoyer ton mon de passe en clair si tu le demandes.



Mais c’est toujours la même rengaine. Avec les peuvent nulles de divulgation de connaissances, le mot de passe ne devrait jamais être transmis aux services d’authentification. Seule la preuve que l’on connait le secret est nécessaire.

votre avatar

Un exemple simple mais pas forcément praticable sont les chaînes de Lamport.



Tu choisis un mot de passe, tu le hash 1000 fois et stoke le résultat sur le service authentification.



Quand tu veux t’authentifier, tu envoies ton mot de passe hashé 999 fois, le service, le hash une fois, si ça correspond à ce qui est stocké c’est la preuve que tu connais le secret et tu est donc authentifier. Le service n’a plus qu’a stocker le nouveau hash. Et aussi de suite à chaque authentification jusqu’à ce que le compte de hash stocké arrive à 2. À ce moment il faut renouveler le mot de passe et refournir son 1000eme hash.



Ce n’est pas plus sécurisé que les autres systèmes, à ceci près que ton mot de pas n’a jamais circuler sur le réseau.

La CNIL impose une sanction de 300 000 euros à l’encontre de Free Mobile

Fermer