La CNIL a sanctionné la société FREE, le 30 novembre 2020, pour des manquements de sécurité et pour n’avoir pas traité, conformément aux exigences du RGPD, des demandes d’accès aux données et des demandes de suppression des données de clients.

Concernant les demandes d’accès aux données, quatre personnes avaient demandé à l’opérateur de leur communiquer des informations sur les traitements de données effectués. Les personnes souhaitaient particulièrement savoir comment l’opérateur avait obtenu leurs données, c’est-à-dire connaître la source de leurs données[1]. La société FREE n’a cependant « pas donné suite dans les délais prescrits aux demandes » ou a « apporté une réponse incomplète s’agissant de la source de leurs données ».

Sur l’absence de réponse, l’opérateur a indiqué que « les procédures mises en œuvre n’ont pas été respectées en raison d’erreurs humaines isolées ».

Sur la source des données, la société a indiqué qu’« elle n’est pas tenue d’y répondre dès lors qu’elle serait conduite à révéler une information relevant du secret des affaires (l’identité du courtier en données lui ayant fourni les données) ». La Commission française n’a toutefois pas partagé cette analyse. La CNIL considère que le secret des affaires peut uniquement s’appliquer suite à une demande d’accès aux données, mais pas pour des demandes d’information. L’opérateur devait donc fournir des informations « les plus précises possibles » sur les traitements effectués et communiquer l’identité du courtier en données. La Commission considère, par ailleurs, que refuser de communiquer une telle information « revient à empêcher la personne concernée de pouvoir vérifier la licéité du traitement effectué par le responsable de traitement et, en particulier, la licéité des transmissions de données déjà effectuées ».

Concernant les demandes de suppression des données[2], deux personnes avaient envoyé à l’opérateur FREE une demande de suppression de leur adresse e-mail « FREE.FR » en utilisant un formulaire en ligne dédié, sur lequel il était indiqué que « la suppression effective des comptes nécessite un délai de 48 heures après réception du courrier ». Leurs demandes de suppression de compte n’ont toutefois pas été traitées et leurs comptes sont restés actifs « plusieurs années ».

La société FREE a indiqué n’avoir pas procédé à la suppression des adresses car les demandes de suppression via le formulaire « ne sont pas des demandes d’effacement au sens du RGPD et ne sont encadrées par aucun délai légal […] mais s’assimilent à une demande de résiliation de contrat ». Encore une fois, la CNIL n’a pas partagé cette analyse. La Commission considère que les demandes des personnes étaient, au contraire, « claires » et que l’opérateur aurait du les traiter conformément aux exigences du RGPD[3].

Concernant les manquements de sécurité, la CNIL reproche notamment à l’opérateur FREE :

  • la génération de mots de passe de seulement huit caractères avec « uniquement un même type de caractères », lors de la création d’un compte ou du renouvellement du mot de passe[4] ;
  • le stockage « en clair » des mots de passe des clients[5] ;
  • la transmission « en clair » des mots de passe par e-mail ou courrier postal ;
  • la remise en circulation de 4 137 Freebox sans avoir préalablement réinitialisé le contenu du précédent abonné.

Enfin, concernant ces erreurs de reconditionnement des Freebox, la Commission reproche aussi à l’opérateur de ne pas avoir correctement documenté cette « violation de données à caractère personnel ». Les éléments notés ne permettaient, par exemple, pas de savoir si les boititers « avaient été rapatriés et, le cas échéant, à quelle date ».

Une amende de 300 000 € a été prononcée contre la société FREE, ce qui représente 0,004 % du chiffre d’affaires[6] du groupe ILIAD, maison mère de l’opérateur. Une astreinte de 500 € par jour a également été prononcée si l’opérateur ne s’est pas mis en conformité après un mois.

Lire :

Ma réaction à cette décision

Les positions et les réactions de FREE pour tenter de se justifier sont incroyables.

Concernant les manquements de sécurité par exemple, où les règles élémentaires de sécurité n’étaient pas respectées, comme le chiffrement des mots de passe lors du stockage ou de la transmission, la société du milliardaire Xavier Niel estime qu’elle peut faire ce qu’elle veut et que rien ne peut lui être reproché. Les recommandations des autorités - la CNIL, l’ANSSI - ne les concernent pas.

« En défense, la société fait valoir qu’en tant que responsable de traitement, elle est libre de choisir les mesures de sécurité à mettre en place. Elle soutient en ce sens que les recommandations de la CNIL ou de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) citées dans le rapport n’ont aucun caractère impératif. Dès lors, la société considère qu’aucun manquement ne peut être retenu en l’absence d’une " violation de données ayant affecté l’accès à l’espace abonné " »

— CNIL, Délibération n°SAN-2022-022 du 30 novembre 2022 concernant la société FREE, §52

Concernant la source des données à communiquer aux clients, la société FREE estime que l’obligation de « transparence » ne la concerne pas, et invoque le « secret des affaires ». Cette stratégie de défense est désormais à la mode. La société concurrente ALTICE avait fait de même pour demander la censure d’articles de presse évoquant le train de vie de son patron – également milliardaire – Patrick Drahi, suite à une cyberattaque[7] ayant conduit à la divulgation d’informations. Dieu merci, la CNIL ne s’est pas laissée berner et a prononcé une astreinte de 500 € / jour pour s’assurer que l’opérateur FREE communique la source des données aux clients qui en avaient fait la demande.

Mise à jour du 21 avril 2023 :

La société FREE n’a finalement pas communiqué les noms des courtiers à tous ceux qui en avaient fait la demande, car l’opérateur a procédé à « la destruction des fichiers de livraison relatifs aux données à caractère personnel des plaignants ». Oui, vous avez bien lu. FREE n’a pas communiqué les noms des courtiers, car les documents ont été supprimées.

La CNIL s’est finalement bien fait bernée et se contentera de clôturer l’injonction en notant simplement que l’opérateur n’avait pas mentionné que les documents étaient supprimés pendant la procédure.

L’opérateur FREE a-t-il supprimé les documents pour ne pas devoir communiquer d’informations sur ses traitements ? Nous ne le saurons jamais, mais chacun peut se faire son avis.

Notes et références

  1. Lorsque des données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le RGPD demande de fournir aux personnes certaines informations, notamment « la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public » (source : RGPD, article 14-2-f). Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  2. Le RGPD donne un certain nombre de droits aux personnes, comme celui d’exiger la suppression de leurs données à caractère personnel (source : RGPD, article 17). Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
  3. Le RGPD demande que « le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande » (source : RGPD, article 12-3). La société FREE devait donc apporter une réponse aux demandes de suppression des données sous un mois. Voir « Combien de temps a une entreprise pour répondre aux demandes d’exercice de droits RGPD ? ».
  4. La CNIL demande que les mots de passe suivent certains critères (nombre de caractères, caractères spéciaux, etc.) pour améliorer la sécurité des données. Voir « Quelles restrictions imposer aux mots de passe de ses utilisateurs ? ».
  5. Pour améliorer la sécurité, les mots de passe ne doivent pas être stockés en clair, mais doivent être chiffrés en utilisant une fonction de hachage robuste. Voir « Quels sont les risques à stocker les mots de passe de ses utilisateurs en clair ? ».
  6. La société ILIAD, maison de mère de l’opérateur FREE, a déclaré un chiffre d’affaires de 7,587 milliards d’euros en 2021 ( source : Iliad, Résultats annuels 2021, page 16).
  7. Des documents du groupe ALTICE ont été divulgués suite à une cyberattaque. « ALTICE – Des données du groupe dérobées et divulguées ».

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données
  • ANSSI : Agence Nationale de la Sécurité des Systèmes d'Information