Amende CNIL Free : des Freebox recyclées sans nettoyage

La CNIL vient d'infliger une amende à Free. Motifs : l'opérateur n'a pas respecté le RGPD, en sécurisant mal les informations personnelles de ses abonnés… et en recyclant des Freebox contenant encore des données d'anciens utilisateurs !

Free est une fois de plus dans le viseur de la Commission nationale de l'informatique et des libertés (CNIL). Après avoir été condamné en janvier 2022 par le gendarme du numérique à payer une amende de 300 000 euros pour ne pas avoir suffisamment sécurisé les données personnelles de ses abonnés et ne pas avoir respecté leur droit d'accès à ces informations, l'opérateur récidive pour des motifs similaires. Dans une décision rendue publique le 8 décembre 2022, la CNIL révèle avoir été saisie par 41 plaintes de la part de clients entre octobre 2018 et novembre 2019 – seules 10 d'entre elles ont été retenues dans le cadre de la procédure — pour ne pas avoir respecté le RGPD (Règlement général sur la protection des données). Après enquête, elle a constaté plusieurs manquements, "notamment aux droits des personnes concernées (droit d'accès et droit d'effacement) ainsi qu'à la sécurité des données (faible robustesse des mots de passe, stockage et transmission en clair des mots de passe, remise en circulation d'environ 4 100 boîtiers "Freebox" mal reconditionnés)".

Free et le RGPD : les données des abonnés mal protégées

La CNIL a relevé plusieurs manquements au RGPD de la part de Free. Tout d'abord, l'opérateur n'a pas respecté l'obligation du droit d'accès de ses clients, puisqu'il n'a pas donné suite à leurs différentes demandes et plaintes dans les délais prévus, ou alors leur a donné des réponses incomplètes. De ce fait, il n'a également pas respecté leur droit d'effacement. Ensuite, le gendarme du numérique a soulevé un manquement à l'obligation d'assurer la sécurité des données personnelles, qui regroupe lui-même plusieurs problèmes.

Pour l'administration, les mots de passe générés lors de la création d'un compte utilisateur sur le site web de la société, d'une procédure de récupération ou d'un renouvellement de mot de passe étaient trop faibles, et l'ensemble des mots de passe générés lors des inscriptions était stocké en clair dans la base de données des abonnés de la société. En plus, ces mots de passe, ainsi que ceux associés aux comptes de messagerie électronique "free.fr", étaient envoyés par courrier ou par e-mail en clair, sans qu'ils n'aient l'obligation d'être changés ou ne soient soumis à une restriction temporaire. On imagine la panique si quelqu'un interceptait le message ! Notons tout de même que Free a partiellement corrigé ce problème puisque, depuis le début de l'année, il propose un lien pour réinitialiser le mot de passe de ses abonnés fixe et mobile sur demande.

Freebox : des box avec des fichiers personnels dans la nature

Mais les mots de passe des abonnés ne sont pas les seules informations à ne pas être sécurisées. Un autre grief de la CNIL concerne des Freebox qui ne seraient reconditionnées dans les règles de l'art. En effet, comme chez tous els opérateurs, Free récupère régulièrement des box soit suite à un dysfonctionnement – une panne due à la foudre, par exemple – soit suite au départ d'abonnés. Or les modèles contenant un disque dur, comme la Freebox Revolution, conservent diverses données stockées par leurs utilisateurs  – vidéos, photos, musiques, enregistrements TV mais aussi parfois des documents personnels et confidentiels – de fait que s'utilise comme un serveur de stockage en réseau. Or la commission a relevé que quelque 4 100 Freebox avaient été mal reconditionnées, sans effacer les données de leurs anciens utilisateurs avant de retourner dans le circuit. Résultat, les abonnés qui récupèrent ces box se retrouvent avec des fichiers potentiellement sensibles provenant des anciens clients… 

Pour sa défense, la société a avancé que la "gravité de cet incident doit être nuancée compte tenu de la nature des données usuellement stockées sur les Freebox". Un avis que ne partage visiblement pas la CNIL, qui considère "que cet usage courant ne permet pas d'écarter la possibilité que certains des boîtiers Freebox mal reconditionnés contiennent des photos ou des vidéos personnelles, qui ont un caractère hautement personnel." Enfin, la documentation établie par l'opérateur ne permettait pas de prendre connaissance de l'ensemble des mesures prises pour remédier à cet incident, ce qui constitue un manquement à l'obligation de documenter une violation de données personnelles.

C'est donc à cause de toutes ces infractions que la CNIL a annoncé, le 30 novembre 2022, avoir infligé une amende de 300 000 € à Free. Celle-ci prend en compte la taille et la situation financière de la société et le fait qu'elle ait pris des mesures au cours de la procédure pour corriger les manquements. La Commission lui a également enjoint de se mettre en conformité concernant la gestion des demandes de droit d'accès des personnes et d'en justifier d'ici 3 mois, sous peine de devoir payer 500 euros par jour de retard. Cette décision a été révélée au grand public de par "la nécessité de rappeler l'importance de traiter les demandes de droit des personnes et de sécuriser les données des utilisateurs". Espérons que l'opérateur ait finalement compris la leçon !