cnil

La CNIL vient de condamner Free à une amende de 300 000 euros. Plusieurs choses sont reprochées au fournisseur d'accès.

Selon Univers Freebox, l'opérateur n'aurait pas assez fait attention à la protection des données de ses abonnées, et aurait eu quelques problèmes dans le reconditionnement de ses box. Raison pour laquelle, en plus de l'amende, « la formation restreinte de la CNIL a prononcé une injonction de mise en conformité en lien avec le respect du droit d’accès ».

Des mots de passe en clair

Après enquête, la Commission Nationale de l'Informatique et des Libertés a pu constater plusieurs problèmes portant sur l'accès aux données des utilisateurs, ainsi que sur l'obligation d'effacer les données en cas de demande. Plusieurs requêtes n'ont ainsi pas été traitées dans les temps.

Plus problématique peut-être encore est la question des mots de passe déterrée par la CNIL. Pour l'administration, les mots de passe générés lors d'une inscription, d'un renouvellement ou d'une récupération étaient trop faibles. Ces mots de passe étaient par ailleurs accessibles en clair « dans la base de données des abonnés de la société », explique Univers Freebox.

Enfin, l'autorité administrative indépendante a critiqué l'envoi, par courrier ou mail, de ces mots de passe en clair, sans que ces derniers n'aient une date de péremption ou ne soient assortis d'une obligation de changement.

Des freebox reconditionnées comportaient des données des anciens utilisateurs

L'autre reproche de la CNIL tient au mauvais reconditionnement de Freebox, à cause duquel plusieurs milliers de ces appareils contenant encore les données d'anciens abonnés ont été envoyés à de nouveaux clients.

Ainsi, ce sont 4100 de ces appareils qui ont été « réattribués à de nouveaux clients sans que les données de ces anciens abonnés qui y auraient été stockées aient été correctement effacées. Ces données pouvaient être des photos, des vidéos personnelles ou l’enregistrement des programmes de télévision ». Un incident dont la correction par Free n'a pas ailleurs pas été correctement documentée, ce qui a constitué un autre manquement à ses devoirs de la part du FAI.