Entre un système 100 % sécurisé et une passoire, il y a plein d'étapes intermédiaires et il est de la responsabilité de toute entreprise de diminuer les risques pour leur clients et de se rapprocher des 100 %.
Toute entreprise doit mettre en place des plans de sécurité dignes de ce nom. Des directives européennes sont en préparation sur le sujet mais les entreprises des Télécoms particulièrement exposées doivent déjà les avoir anticipées depuis longtemps.
Free ne peut pas dire (entre autre) :
- "c'est déjà arrivé à mes collèges opérateurs et à d'autres". C'est vrai, mais certains ont pris depuis longtemps des mesures réelles de sécurisation SI.
Et Free a gagné le titre de n° 1 sur la fuite de données la plus massive qui soit (en gros une très grande partie de la base client Fixe et Mobile), ce qui, à ma connaissance, n'est jamais arrivée ailleurs à ce point.
- "ça coûte très cher de protéger tous les accès au moment" où Free met (à raison) en avant ces bon résultats.
- "je suis victime", c'est vrai mais Free doit aussi prouver qu'il n'a pas laissé la porte du SI ouverte ou n'a pas donné les clés du SI à la mauvaise personne
Porter plainte, ne sert pas à grand chose et ne mène nulle part pour au moins trois raisons :
* beaucoup d'argent, de temps, d'énergie à dépenser pour des résultats forts incertains et très lointains. D'abord effectivement pour quelle préjudice ? Porter plainte avant d'avoir réellement mal, ne suscite rarement une forte mobilisation de la justice.
Je manque de référence de plaintes, en justice, émises et abouties sur ce type de dossier.
* et la justice, qui a bien d'autres choses à faire et pas de compétence spécifiques sur le sujet, attendra que l'organisme chargée du sujet RGPD/Protection des données, fasse son travail : la CNIL.
De ce fait, je suis même pas sûr qu'une plainte en justice soit recevable sans action préalable de la CNIL.
Free a averti formellement la CNIL des fuites de données et a informé ces clients : Free ne fait que respecter les règles RGPD / CNIL en cas de fuite de données mais les échanges entre Free et la CNIL ne s'arrêteront pas à ce stade:
- Free devra expliquer précisément ce qui s'est passé et formaliser un plan d'action pour éviter la reproduction de telles fuites
- si les explications de Free sont inexistantes, insuffisantes, tardives,... la CNIL a tout pouvoir pour lancer un audit, notamment en s'appuyant sur des experts dont la compétence est peu discutée (ANSSI)
- et la CNIL a aussi un pouvoir de sanction. Pour ceux qui doutent de ce pouvoir, qu'ils consultent les sanctions déjà émises en France (voire au niveau Européen). Au delà qu'elles ternissent l'image de la société concernée, elles sont de moins en mois symboliques.
Tout cela est bien plus efficace, organisée que toute plainte judiciaire. Il est parfaitement inutile à un client Free d'envoyer un courrier à la CNIL : la CNIL connait son métier et est assez grande pour se saisir de ce dossier.
* et bien entendu, il existe une action, toute simple, à la portée de chacun si la perte de confiance en Free parait rédhibitoire : mettre fin sans délai a tous ces contrats avec Free. Avec un bémol : attendre la fin de ces éventuelles périodes d'engagements. J'imagine que la clause "résiliation sans frais pour fuite de données" n'existe pas dans les contrats Free. Et bien entendu, rien n'oblige de potentiels clients à contractualiser avec Free.
Ce n'est en aucun cas un appel de ma part : chacun fait ce qu'il veut.
Actus Free