Bonsoir,

les comptes de courriels étant sans limite de temps chez Free, contrairement aux autres, il est possible qu'il soit nécessaire que certaines données soient conservées plus longtemps que chez les copains, non?

Oui en partie.
Je ne sais pas comment Free gère cela:
Disons que je suis client chez free avec aussi une adresse email chez free: Free a donc mon nom, adresse, RIB ... et email.
Le jour ou je résilie mon contrat internet, il n'a y pas de raison de conserver mon RIB , juste les données nécessaires associées à l'adresse email ( ce n'est qu'un exemple ).

En octobre 2024, l’affaire avait provoqué une onde de choc : une attaque informatique avait conduit à la fuite de plus de 24 millions de contrats clients (24 633 469 précisément). Plus inquiétant, 5,1 millions d’IBAN avaient aussi été dérobés

Des failles de sécurité ahurissantes

La Cnil n’a pas de mot assez dur pour qualifier la légèreté de l’opérateur en matière de sécurité de ses fichiers client : « les sociétés n’avaient pas mis en œuvre certaines mesures élémentaires de sécurité qui auraient pu rendre l’attaque plus difficile », indique la sanction. Elle fustige ainsi la gestion des accès distants des employés de Free et de Free Mobile en télétravail, révélant que la procédure d’authentification des connexions VPN n’était « pas suffisamment robuste ». C’est d’ailleurs cette défaillance qui a permis à l’attaquant de s’introduire dans l’outil de gestion des abonnés sans grande difficulté.

L’opérateur a également été épinglé pour un manque criant de réactivité : le système n’a pas déclenché d’alerte alors que des volumes massifs de données étaient en train d’être extraits. « L’attaquant a pu accéder aux données des clients […], et ce pendant presque un mois, sans qu’une alerte ne soit émise ou, à supposer qu’une alerte ait bien été émise, sans que celle-ci soit traitée, ce qui a eu pour conséquence que la société n’a pas eu connaissance de l’accès non autorisé aux données avant que l’attaquant l’en informe lui-même », indique la décision de la Cnil. Ahurissant !

De plus, la Cnil a constaté que Free conservait les données d’anciens clients bien après le délai légal, augmentant mécaniquement le nombre de victimes.

https://www.60millions-mag.com/2026/01/15/sanction-de-free-par-la-cnil-une-aubaine-pour-les-victimes-25374

J'ignore comment Free gère ces adresses mails mais le maintien d'une adresse mail lors du départ d'un client est source d'ambigüités.

* certes ce maintien "à vie", permet à Free de "rendre service" au client malgré son départ et de garder un lien avec lui

* cela permet aussi à Free de ne pas trop se pré-occuper de la purge des données clients

* mais avec une ambigüité vis à vis du client : certains clients gardent, par commodité (c'est gratuit !) , l'usage de cette adresse. Mais au moindre problème, ils découvrent que cette adresse a été maintenue en dehors de tout cadre contractuel ....et donc que Free ne leur doit rien du tout en terme de SAV

* les données non strictement nécessaires à l'usage du mail ont elles été purgées ? Je n'en sais rien mais je soupçonne qu'avant les obligations RGPD, Free n'est guère investi pour faire le ménage et que l'arrivée du RGPD n'a pas provoqué un ménage rétroactif, de plus en plus délicat à faire avec le temps qui passe.

* mais aussi une ambigüité vis à vis des règlements RGPD :  de nombreux clients en quittant Free font le nécessaire pour également se passer de l'adresse Free et au bout de quelques mois ne s'en servent plus du tout. Ils ont, sans doute,  modérément apprécier de découvrir qu'ils étaient concernés par la fuite de Free pour une adresse qu'ils n'utilisaient pas depuis des années !.  En aucun cas, ils n'avaient données l'autorisation à Free de conserver ces données lors leur résiliation, au delà du délai légal de 6 mois.

Ceux qui ont travaillé sur des SI un peu complexes, un peu anciens, savent que "faire le ménage" des données clients n'est pas simple du tout, couteux voire dangereux (purge de mauvaises données) avec un retour sur investissement nul. C'est l'action de fin de projet ....plus ou moins bien faite ...
Ce n'est pas la partie la plus noble du SI mais le RGPD a rendu cette fonctionnalité incontournable.

Que font les autres FAI sur le traitements des adresses mails en cas de départ client ?  Chacun en fonction de son histoire, de ces choix techniques, de son "sérieux"  a des solutions différentes mais c'est un sujet qui n'amuse pas vraiment les directions informatiques.

Certains Opérateurs, au départ des clients, arrêtent les messageries au bout de x mois de non utilisation  (par exemple un an) et purge les données ( peut-être ?)  au bout de ce laps de temps. La aussi pas mal d'ambigüité que l'on voit sur les forums utilisateurs.

Orange fait bien le ménage mais avec quelques difficultés :
* sur de très anciennes adresses : le client parti depuis longtemps découvre que son adresse qu'il utilise tous les jours ne peut plus être utilisé ....
* sur des adresses plus récentes lors de changement de contrat : le modèle de données (et contractuel) d'Orange rattache l'adresse de messagerie à un contrat fixe.  Le passage à la fibre créé un problème courant : si le client (mal conseillé !) ne fait pas une migration du contrat Adsl vers la fibre mais une résiliation Adsl/ création nouveau contrat fibre, il découvre au bout de 6 mois (délai légal de conservation ancienne adresse) que son ancienne adresse n'est plus accessible. Naturellement, la raison de cette disparition d'adresse (modèle de données) est inintelligible  pour la plupart des clients, pourtant fidèles.
* sur des adresses récentes lors d'un départ de chez Orange :  le client qui utilise son adresse Orange sur des dizaines de site web différents dont certains importants (banques, impôts), prend conscience tardivement que son adresse Orange est en sursis au delà des  6 mois.
Les forums Orange sont plein d'exemples.  Je ne sais si  Orange est exemplaire mais en tout cas Orange "fait le ménage" avec des effets de bord pour les clients les moins attentifs mais c'est le prix de la sécurité. Et il n'y pas d'ambigüité aujourd'hui sur la règle fondamentale : résiliation contrat fixe, délai légal de 6 mois d'utilisation de la messagerie et au delà adresse en sursis et les programmes de purge agissent.

Vu le montant de l'amende, Free n'a pas du vraiment convaincre la CNIL qu'il faisait tous les efforts pour purger les données non nécessaires. Ce n'est pas la fuite qui explique le montant de l'amende ( quoique le volume de clients concernés interpelle) mais l'absence de mesures préventives pour appliquer le RGPD correctement.

Bonjour,

Je pense que beaucoup (dont moi) s'attachent en effet à ce critère de conservation des données, pednant plusieurs années, client actif ou pas.
Il y a énormément d'avantages à cela. D'ordinaire cela arrive surtout pour les relations contractuelles commerciales très long terme, où le client a "l'habitude" de profiter de cet avantage, qu'aller sur un guichet en ligne pour récupérer les ressources dont il a besoin.

Cela peut être un webmail, ou encore.... des factures.

Les exemples sont d'ailleurs souvent aux antipodes, Orange détestant les données des clients partis il y a plus de six mois, alors que son concurrent Free permet de garder les pages perso d'un défunt internaute plus de quinze ans après le décès (exemple vu).

C'est vraiment très variable comme politique, cela a ses avantages et inconvénients. Comme le confinement, dans tous les cas : ça ralera d'un coté (liberté) ou d'un autre (santé).

Quelques exemples :
-Lorsque le Slip français voit sa base de données clients volés, forcément les commentateurs du site Next.ink voient rouge : "ça fait cinq ans que je suis plus client chez eux, pour une seule commande, mais je rêve!!!"

à l'inverse d'un achat ponctuel sur une boutique qu'on ne voit qu'une fois, l'abonnement, est lui au coeur du très long terme, même après résiliation :

retrouver une facture datant d'il y a plus de cinq ans, pour retrouver le numéro d'une personne contactée à un certain moment précis, qui permet de retrouver le numéro d'une personne dont on ne connait que le prénom ou le patronyme. C'est très précieux, ça m'arrive chaque année. Le fait que les factures (dont les deux derniers numéros sont réglés sur "afficher", et non "masquer", bien méticuleusement lors de l'ouverture de la ligne), m'a permis de justement retrouver le numéro de certains abonnés sans avoir à retourner ciel/terre/mer auprès d'autres personnes et de le retrouver dans l'heure, quand on se souvient exactement de quand/quelle période elle a été contactée.

Autre exemple, le plus crucial, sensible : le mail.

Nombre de gens qui ne relèvent pas, n'organisent pas, quel service en ligne est lié à quel email.
Pour les iPhone, agés de plus de quatre ans, dont un ou deux ans au fond d'un tiroir. La politique d'Apple, étant de faire bloquer l'appareil par iCloud lorsque celui ci est laissé de coté (cad complètement hors ligne) par mesure de précaution pour les données qu'il contient.
La solution? Très simple : entrer son mot de passe iCloud.
Mais un peu compliqué quand la personne a complètement abandonné le système Apple depuis au moins trois ans, et qu'elle ne se souvient plus de son mdp iCloud. "T'inquiète : y'a la récupération par email !" Effectivement, procédure tentée : récupération par le compte email rattaché, à l'adresse @wanadoo.fr, renseignée en 2015 à l'achat du téléphone... et supprimée par l'Agrume trois ans plus tard, lors d'un changement de FAI. L'adresse n'est plus **du tout** disponible. Apple ne veut rien entendre. L'iPhone est irrécupérable, son sort, scellé, au grand désespoir de son propriétaire.

Par les dix dernières années, j'ai vu passer pas moins de sept/huit iPhone bloqués icloud sur les anciens comptes mail de leurs propriétaires, qui ont fini à la poubelle pour cause d'utilisation impossible parce qu'ils avaient oublié leur mdp, envoyant dans l'au-delà toutes leurs données (contacts, notes, mémos, photos, très précieux) à jamais.


Autre exemple, la migration de dernière minute d'un médecin, qui a fait un peu parler d'elle :
https://www.mail-archive.com/frnog@frnog.org/msg78967.html

Également, le numéro de mobile : avec un monde malsainement drogué à la 2FA, bcp sont forcés de faire vérifier leur numéro de mobile par SMS. Plus scandaleux encore : on responsabilise le client à l'avoir tout le temps sur lui. C'est pas le client qui décide, et c'est à sa charge (no comment). Mais que se passe-t-il quand on a changé de numéro, sans migrer tous les services?

On perd l'accès à bcp de ces services, et un temps fou en service client à récupérer tout ça. Pire encore : le nouveau titulaire du numéro reçoit tous nos SMS, sans pouvoir nous contacter. C'est quelque chose qui arrive à des proches chaque année. Un ex :

Par eloelo - 21/10/2014 06:48 - France
Aujourd'hui, alors que je suis une étudiante fauchée, je reçois tous les mois, par SMS, et par erreur, le relevé bancaire d'un certain Mr X., créditeur d'environ 12 000 €. VDM
https://www.viedemerde.fr/index.php/article/aujourd-hui-alors-que-je-suis-une-etudiante-fauchee-je-recois-tous-les-mois-par-sms-et-par-er_22628.html

Autre exemple :
un hébergeur web propose des pages perso gratuites, parmi sa myriade d'offres pro. Il est pas si connu (c'est pas ovh ni free), mais est déjà connu d'un certain public. Sur ses offres perso, l'inactivité est graduelle, ou progressive, càd que la première année, au moins une connexion tous les six mois est exigée pour que le compte utilisateur (et donc le site) ne soit conservé. Cela se réduit à une fois par an pendant les trois prochaines années. Sur l'interface d'administation FTP, à ne pas confondre avec l'interface d'administration du CMS (wordpress, dotclear, ou autre..)  ; il y a évidemment un courriel de rappel. Mais en clair, si la personne rate le coche de se connecter durant six mois la première année, elle n'a le droit qu'à un mois pour se reconnecter à l'interface de l'hébergeur (pour conserver son site ou en récupérer une copie).

Je trouve ça pas pratique, si je loue un service d'hébergement de site web, j'ai pas l'intention d'aller sur le site de l'hébergeur tous les quatre matins, ni même chaque année : j'ai des pages perso free en service depuis une éternité et j'imagine pas uen seule seconde de m'y connecter chaque année, ce n'est pas nécessaire, et c'est une perte de temps. Bah eux si, donc ils ont été exclus des services gratuits que je recommande, parce qu'une indispo de six mois c'est pas si extraordinaire, et même de plus en plus courant (expatriation, études/prépa, problèmes privés, de santé, etc..)



Donc personnellement oui, si un fournisseur de services me permet de conserver pendant des années mes données, et d'aller récupérer une info nécessaire, ou me facilitant la vie (et des heures de recherche dans mon ordi), en allant juste sur l'interface client/abonné, d'un service que j'ai pas consulté depuis cinq ans au moins : ça me pose aucun problème, c'est même un critère fondamental à mon choix de prestataire.

À la rigueur, l'idéal serait, lors de l'ouverture du compte, ou de sa consultation (si occasionnelle ou rare), d'avoir un message demandant au client : "ça fait un moment que vous n'êtes pas passé, voulez vous activer un compteur de suppression des données ?" ; ça, ce serait élégant, et permettrait de mettre les deux parties d'accord. Sauf que très souvent, les fournisseurs de services imposent ce choix au consommateur (alors que la RGPD dit clairement que le client est roi de ses données).

Et c'est trop facile d'hurler au nom de la RGPD après une fuite de données, alors que très souvent les enseignes proposent dans l'interface client un bouton, une procédure, pour supprimer son compte en moins de cinq minutes, même si -il faut l'admettre- il faut parfois fouiller parce qu'ils planquent ça.

Bonjour,

Je pense que beaucoup (dont moi) s'attachent en effet à ce critère de conservation des données, pednant plusieurs années, client actif ou pas.

beaucoup c'est combien ?

Par eloelo - 21/10/2014 06:48 - France
Aujourd'hui, alors que je suis une étudiante fauchée, je reçois tous les mois, par SMS, et par erreur, le relevé bancaire d'un certain Mr X., créditeur d'environ 12 000 €. VDM
https://www.viedemerde.fr/index.php/article/aujourd-hui-alors-que-je-suis-une-etudiante-fauchee-je-recois-tous-les-mois-par-sms-et-par-er_22628.html

2014 c'est récent comme info ,)

À la rigueur, l'idéal serait, lors de l'ouverture du compte, ou de sa consultation (si occasionnelle ou rare), d'avoir un message demandant au client : "ça fait un moment que vous n'êtes pas passé, voulez vous activer un compteur de suppression des données ?"

Si vous avez un compte inactif, il est supprimé au bout de 3 ans et normalement ils vous préviennent avant.

Et c'est trop facile d'hurler au nom de la RGPD après une fuite de données, alors que très souvent les enseignes proposent dans l'interface client un bouton, une procédure, pour supprimer son compte en moins de cinq minutes, même si -il faut l'admettre- il faut parfois fouiller parce qu'ils planquent ça.

en clair, ayant résilié depuis presque 9 ans, c'est de ma faute si la sécurité chez free est quasi inexistante et s'ils ont en dépit de la loi garder mes données, je cite :
L’attaquant a pu accéder aux données des clients […], et ce pendant presque un mois.

Pour finir, un pavé indigeste pour justifier l’injustifiable.
.