Violation de données Free : des procédures d’authentification trop fragiles

La commission nationale informatique et libertés (CNIL), vient de prononcer ses sanctions à l’encontre de Free et Free Mobile, pour les violations de données personnelles de l’automne 2024.

Au total, la punition infligée s’élève à 42 millions d’euros, 15 pour l’opérateur fixe, et 27 pour l’opérateur mobile.

La CNIL pointe trois manquements, en particulier. En tout premier lieu, selon la commission, « la procédure d’authentification pour se connecter au VPN de la société FREE MOBILE et à celui de la société FREE – utilisée en particulier pour le travail à distance des employés de la société – n’était pas suffisamment robuste ». En outre, souligne-t-elle, « les mesures déployées par les sociétés FREE MOBILE et FREE afin de détecter les comportements anormaux sur leur système d’information étaient inefficaces ».

Autrement dit, l’effort de protection des données personnelles concernées déployé n’était pas « adapté » aux dites données.

Ce n’est pas tout. La communication de crise de l’opérateur est également critiquée. Ainsi, la CNIL juge que « le courriel adressé [aux personnes concernées, N.D.L.R.] ne comportait pas toutes les informations nécessaires visées au paragraphe 2 de l’article 34 du RGPD, en estimant que ces omissions ne permettaient notamment pas aux personnes concernées de comprendre directement les conséquences de la violation, ainsi que les mesures qu’elles pouvaient mettre en place pour se protéger de celles-ci ».

Dernier point sanctionné, la durée de rétention des données : « la CNIL a constaté que, au jour du contrôle, la société n’avait pas mis en place de mesures permettant de trier les données des anciens abonnés, afin de ne conserver que celles nécessaires à des fins comptables, puis de les supprimer lorsque cette conservation n’apparaît plus nécessaire ».

Autrement dit, « la société FREE MOBILE avait conservé des millions de données de ses abonnés, sans justification, pendant une durée excessive ».