Il est notamment reproché à l’opérateur de ne pas avoir respecté les droits des personnes et la sécurité des données de ses utilisateurs.
Saisie de plusieurs plaintes, un contrôle sur place et un contrôle sur pièces ont permis de constater des manquements aux droits des personnes concernées (droit d’accès et droit d’opposition), à l’obligation de protéger les données dès la conception ainsi qu’à la sécurité des données (transmission des mots de passe en clair par courriel), explique la CNIL, qui a retenu quatre manquements au RGPD à l’encontre de la société Free Mobile :
- un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par les plaignants dans les délais ;
- un manquement à l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), puisque la société n’a pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé ;
- un manquement à l’obligation de protéger les données dès la conception (art. 25 du RGPD), puisque la société a continué d’envoyer à des plaignants des factures concernant des lignes téléphoniques dont l’abonnement avait pourtant été résilié ;
- un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), puisque la société transmettait par courriel, en clair, les mots de passe des utilisateurs lors de leur souscription à une offre auprès de la société Free Mobile, sans que ces mots de passe soient temporaires et que la société impose d’en changer.
Commentaires (24)
#1
Free “tout court” envoie aussi les mots de passe en clair par email lorsque l’utilisateur dit l’avoir oublié sur la page de login…
#2
Je ne vois pas bien le rapport entre la protection des données et la facturation de contrat résilié.
#2.1
Oui pareil.
). La “conception” a cette époque ne s’embarassait pas du RGPD, et pour cause, il a été créé presque 20 ans plus tard. Dès lors, il faudrait corriger l’envoi en clair, mais ça n’a rien à voir avec la conception (comme la facturation des lignes résiliées). Je ne dois pas avoir la même notion de la conception que le rédacteur.
De plus il faudrait définir “dès la conception” : Free envoie des mots de passe en clair par courrier depuis des années, c’était déjà le cas à l’époque des forfaits 56k, quand on créait un compte pour avoir un e-mail gratuit et un petit espace d’hébergement (ça date !
#2.2
Il s’agit d’un problème de processus / application dont la conception n’a pris en compte la vérification de l’intégrité des informations lors de la résiliation d’une ligne.
Dans le cas présent, quand un client annule une ligne, cette ligne ne devrait plus du tout être liée au données personnelles du client sans que le client est des actions à faire en plus de son côté.
Le fait que la facture indique que la ligne est toujours attribuée au client est considéré comme de la données personnelles non intègres et donc contraire au RGPD.
#2.3
Mauvaise « protection contre le traitement non autorisé ou illicite », imposé par le RGPD (mais c’est l’article 5, pas 25) ?
#3
#4
Enfin une condamnation pour un envoi de mots de passe en clair!!
J’espère que cela fera réfléchir les services informatiques!!
#5
Le problème ici est surtout d’avoir envoyez un mot de passe non temporaire où l’entreprise n’impose pas le changement pour activer le compte, malheureusement, l’envoi du mot de passe en clair par mail ou SMS reste le moyen le plus simple pour que n’importe quel client le reçoive.
#5.1
Si on arrive à t’envoyer ton mot de passe en clair, c’est qu’il est stocké en clair ou non chiffré par un processus asymétrique, ce qui est inacceptable en terme de sécurité.
#5.2
Ici on parle uniquement du mot de passe lors de la création du compte. Il est sans doute généré, envoyé, puis hashé pour être mis en BDD.
#6
300 000 balles pour free, c’est pas une condamnation, juste une tape sur les doigts
#7
Je viens de tester une souscription : le mot de passe est toujours transmis en clair…
Ils ont un délai pour se mettre en conformité ?
#7.1
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044810599?isSuggest=true
(point III, 2°)
Plus bas (point 121) :
Si c’est toujours en clair, il est possible de faire une plainte sur le site de la CNIL.
#8
D’où la réponse de la CNIL :
Il faudrait qu’aucuns mots de passe clients ne soient stockés indéfiniment dans les serveurs de Free, et ça serait le cas avec des mots de passes temporaires, je suis chez Free Mobile et j’ai changé le mot de passe que Free m’a envoyé.
#9
Comment tu fais pour t’authentifier si le mot de passe n’est pas stocké ? Il faut qu’il le soit de façon sûre.
#9.1
Tu ne stockes pas le mot de passe mais son empreinte (hash).
#9.2
On est d’accord, je me suis mal exprimé.
#10
Hmm… pas clair. S’il y a un contentieux sur le paiement d’une ligne (même résiliée), ca me parait normal que le nom du client soit conservé par la société et communiqué dans les courriers.
Si c’est un autre client qui reçoit une facture avec le nom du client précédent (ré-utilisation d’une ligne résiliée), alors là oui c’est un problème.
#10.1
Oui, l’entreprise peut garder les données clientes en cas de contentieux, mais dans ce cas, ça passe dans un autre processus de l’entreprise donc pas les mêmes traitements et données personnelles utilisées.
Mais dans le cas présent, nous parlons d’une donnée bien précise stockée sur une facture, et non stockée dans l’ERP, CRM, BDD, etc. Logiquement, c’est la même, mais RGPDémment ce n’est pas la même car pas le même support, traitement, base légale, etc.
#11
Il pourrait être stocké chiffré dans un HSM (hardware security module), rendant impossible un dump des mots de passe. La comparaison pourrait se faire dans le module. (bon, je vois pas pourquoi quelqu’un ferait ça plutôt que stocker un hash)
Problème : si le site propose de le retourner en clair, son code pourrait être compromis pour récupérer des mots de passe.
#12
Absolument pas ^^
Fais une demande de mdp perdu chez Free, et tu verras qu’ils te renverront ton mdp, et pas un nouveau. Donc il est stocké en clair. J’avais même informé un certain NXI y’a des années, mais visiblement ca les interessait pas :x
#12.1
Il est pas forcément stocké en clair, mais dans ce cas il y a forcément la clé sur les serveurs pour le déchiffrer lorsque tu fais la demande (c’est pas beaucoup mieux).
#13
Non, ce n’est pas le cas, Free peut te renvoyer ton mon de passe en clair si tu le demandes.
Mais c’est toujours la même rengaine. Avec les peuvent nulles de divulgation de connaissances, le mot de passe ne devrait jamais être transmis aux services d’authentification. Seule la preuve que l’on connait le secret est nécessaire.
#13.1
Un exemple simple mais pas forcément praticable sont les chaînes de Lamport.
Tu choisis un mot de passe, tu le hash 1000 fois et stoke le résultat sur le service authentification.
Quand tu veux t’authentifier, tu envoies ton mot de passe hashé 999 fois, le service, le hash une fois, si ça correspond à ce qui est stocké c’est la preuve que tu connais le secret et tu est donc authentifier. Le service n’a plus qu’a stocker le nouveau hash. Et aussi de suite à chaque authentification jusqu’à ce que le compte de hash stocké arrive à 2. À ce moment il faut renouveler le mot de passe et refournir son 1000eme hash.
Ce n’est pas plus sécurisé que les autres systèmes, à ceci près que ton mot de pas n’a jamais circuler sur le réseau.