CNIL – FREE – SAN-2021-021

Décision

🏷️ Nom:

FREE

🔢 Numéro:

SAN-2021-021

📅 Date:

28 décembre 2021

⚖️ Autorité:

CNIL ou équivalent

🌍 Pays:

France

🔗 Lien:

Contexte

Entre le mois de décembre 2018 et le mois de novembre 2019, la Commission nationale de l’informatique et des libertés (ci-après " la CNIL " ou " la Commission ") a été saisie de 19 plaintes à l’encontre de la société FREE. Faisant suite à des controles et à l’issue de l'instruction, le rapporteur a, le 2 août 2021, fait notifier à la société [...] un rapport détaillant les manquements au RGPD qu’il estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer une injonction de mettre en conformité le traitement avec les dispositions des articles 15, 16, 21, 25 et 32 du RGPD.

La société fait notamment valoir qu’à l’époque des opérations de contrôle, les abonnés étaient incités à modifier leur mot de passe sur leur espace abonné et sensibilisés sur l’importance de garder ces mots de passe confidentiels. Elle indique en outre que le mot de passe initial attribué par la société [...] présente un niveau de robustesse élevé. Elle précise enfin que l’espace abonné permet uniquement d’accéder à des informations " basiques " et non à des informations sensibles.

Apport(s)
Mesures techniques et organisationnelles pour ne plus traiter les données suite à une demande de résiliation d’une ligne téléphonique Extrait(s) pertinent(s)94. La formation restreinte considère que si l’information qu’une personne a été titulaire d’une ligne mobile résiliée peut effectivement être conservée à des fins d’exécution du contrat et à des fins comptables, ou encore pour la gestion du contentieux, il n’est en revanche pas nécessaire de continuer à traiter cette information dans le cadre de l’émission des facturations en cours, et de la faire apparaître sur ces dernières, alors que l’utilisation d’un identifiant permettant d’identifier le débiteur des différentes lignes mobiles (principales et secondaires) peut être utilisé à la place. La société aurait dû prévoir, dès la conception, des mesures organisationnelles et techniques pour ne plus traiter ces données dans ce cadre à la suite d’une demande de résiliation d’une ligne principale par la personne concernée. Article(s) du RGPD Article 25 – Protection des données dès la conception et protection des données par défaut Thème(s)Privacy by design & by default Fait référence à Autres informations
Transmission en clair d’un mot de passe permanent - Manquement à l’obligation de sécurité Extrait(s) pertinent(s)104. [...] La transmission, en clair, d’un mot de passe qui n’est ni temporaire, ni à usage unique et dont le renouvellement n’est pas imposé, le rend aisément et immédiatement utilisable par un tiers qui aurait un accès indu au message qui le contient. Ce tiers pourrait ainsi accéder à toutes les données à caractère personnel présentes dans le compte utilisateur [...] de la personne concernée (notamment les nom, prénom, numéro de ligne mobile, adresse postale, adresse électronique, relevé d’identité bancaire, numéro de ligne mobile). Il pourrait également accéder à sa messagerie vocale, télécharger ses factures et le relevé de ses consommations, procéder à la modification du mot de passe, de l’adresse électronique ou des options du compte. Le fait que le mot de passe soit en lui-même robuste et que les personnes soient incitées à modifier leur mot de passe ne suffit pas à compenser ces risques, qui peuvent notamment entraîner des usurpations d’identité et des tentatives d’hameçonnage. Dès lors, la prise en compte de ces risques pour la protection des données à caractère personnel et de la vie privée des personnes conduit la formation restreinte à considérer que les mesures déployées pour garantir la sécurité des données en l’espèce sont insuffisantes. Article(s) du RGPD Article 32 – Sécurité du traitement Thème(s)Authentification Fait référence à Autres informations

Apport(s)

Mesures techniques et organisationnelles pour ne plus traiter les données suite à une demande de résiliation d’une ligne téléphonique

Extrait(s) pertinent(s)94. La formation restreinte considère que si l’information qu’une personne a été titulaire d’une ligne mobile résiliée peut effectivement être conservée à des fins d’exécution du contrat et à des fins comptables, ou encore pour la gestion du contentieux, il n’est en revanche pas nécessaire de continuer à traiter cette information dans le cadre de l’émission des facturations en cours, et de la faire apparaître sur ces dernières, alors que l’utilisation d’un identifiant permettant d’identifier le débiteur des différentes lignes mobiles (principales et secondaires) peut être utilisé à la place. La société aurait dû prévoir, dès la conception, des mesures organisationnelles et techniques pour ne plus traiter ces données dans ce cadre à la suite d’une demande de résiliation d’une ligne principale par la personne concernée.
Article(s) du RGPD Article 25 – Protection des données dès la conception et protection des données par défaut
Thème(s)Privacy by design & by default
Fait référence à
Autres informations

Transmission en clair d’un mot de passe permanent - Manquement à l’obligation de sécurité

Extrait(s) pertinent(s)104. [...] La transmission, en clair, d’un mot de passe qui n’est ni temporaire, ni à usage unique et dont le renouvellement n’est pas imposé, le rend aisément et immédiatement utilisable par un tiers qui aurait un accès indu au message qui le contient. Ce tiers pourrait ainsi accéder à toutes les données à caractère personnel présentes dans le compte utilisateur [...] de la personne concernée (notamment les nom, prénom, numéro de ligne mobile, adresse postale, adresse électronique, relevé d’identité bancaire, numéro de ligne mobile). Il pourrait également accéder à sa messagerie vocale, télécharger ses factures et le relevé de ses consommations, procéder à la modification du mot de passe, de l’adresse électronique ou des options du compte. Le fait que le mot de passe soit en lui-même robuste et que les personnes soient incitées à modifier leur mot de passe ne suffit pas à compenser ces risques, qui peuvent notamment entraîner des usurpations d’identité et des tentatives d’hameçonnage. Dès lors, la prise en compte de ces risques pour la protection des données à caractère personnel et de la vie privée des personnes conduit la formation restreinte à considérer que les mesures déployées pour garantir la sécurité des données en l’espèce sont insuffisantes.
Article(s) du RGPD Article 32 – Sécurité du traitement
Thème(s)Authentification
Fait référence à
Autres informations

Références

Cette décision cite...

> CE – Sergic – 433311

4 novembre 2020

Cette décision est citée par...

> CNIL – Doctissimo – SAN-2023-006

11 mai 2023

Signaler une erreur / Faire une suggestion