CNIL – FREE – SAN-2022-022

Par /

CNIL – FREE – SAN-2022-022

Décision

Autorité:
CNIL ou équivalent
Numéro:
SAN-2022-022
Nom:
FREE
Date:
30 novembre 2022
Pays:
France
Lien:
Cliquer ici

Contexte

Faisant suite à une mission de contrôle, le 21 avril 2022, le rapporteur a fait notifier à la société un rapport détaillant les manquements au RGPD qu’il estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer une amende administrative et une injonction de mettre en conformité le traitement avec les dispositions de l’article L.34-5 du code des postes et des télécommunications électroniques (CPCE) et des articles 7-1, 15, 17, 32 et 33 du RGPD, assortie d’une astreinte par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération de la formation restreinte.

En réponse, la société fait notamment valoir qu’à l’époque des opérations de contrôle, les abonnés étaient incités à modifier leur mot de passe sur leur espace abonné. Elle indique, en outre, que le mot de passe initial qu’elle a attribué présente un niveau de robustesse élevé et que l’espace abonné permet uniquement d’accéder à des informations basiques et non à des informations sensibles. La société indique également avoir cessé de stocker en clair des mots de passe au sein de la base de données et d’avoir cessé de communiquer des mots de passe en clair.


Apport(s)

Caractère suffisant des mesures de sécurité - 1) Critères d’appréciation - 2) Exigences de robustesse des mots de passe
  • Extrait(s) pertinent(s)55. Il résulte des dispositions de l’article 32 du RGPD que le responsable de traitement est tenu de s’assurer que le traitement automatisé de données qu’il met en Å“uvre est suffisamment sécurisé. Le caractère suffisant des mesures de sécurité s’apprécie, d’une part, au regard des caractéristiques du traitement et des risques qu’il induit, d’autre part, en tenant compte de l’état de connaissances et du coût des mesures. La mise en place d’une politique d’authentification robuste constitue une mesure élémentaire de sécurité qui participe généralement au respect des obligations de l’article 32 du RGPD.

    57. La Commission recommande [...] que, pour satisfaire aux exigences de robustesse des mots de passe et assurer un niveau de sécurité suffisant, lorsque l’authentification repose, comme en l’espèce, sur un identifiant et un mot de passe, sans mise en place d’une mesure de sécurité complémentaire, le mot de passe comporte au minimum douze caractères et contienne au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial. À défaut, la Commission recommande qu’un mot de passe comporte au moins huit caractères, contenant trois des quatre catégories de caractères (lettres majuscules, lettres minuscules, chiffres et caractères spéciaux), à condition qu’il s’accompagne d’une mesure de sécurité complémentaire afin d’assurer un niveau de sécurité et de confidentialité suffisant.
  • Article(s) du RGPD Article 32 – Sécurité du traitement
  • Fait référence à
  • Autres informations


Références

Cette décision cite...

Cette décision est citée par...

Signaler une erreur / Faire une suggestion

Retour en haut