Le 30 novembre 2022, la CNIL a prononcé une sanction de 300 000 euros à l’encontre de la société FREE, notamment pour ne pas avoir respecté les droits des personnes et la sécurité des données de ses utilisateurs.
La CNIL a reçu plusieurs plaintes concernant les difficultés rencontrées par des personnes dans la prise en compte, par l’opérateur de téléphonie fixe français FREE, de leurs demandes d’accès et d’effacement de leurs données personnelles.
Des contrôles ont permis de constater plusieurs manquements, notamment aux droits des personnes concernées (droit d’accès et droit d’effacement) ainsi qu’à la sécurité des données (faible robustesse des mots de passe, stockage et transmission en clair des mots de passe, remise en circulation d’environ 4 100 boîtiers « Freebox » mal reconditionnés).
En conséquence, la formation restreinte – organe de la CNIL chargé des sanctions – a prononcé à l’encontre de la société FREE une amende de 300 000 euros et a décidé de rendre publique sa décision. Elle a également enjoint à la société de se mettre en conformité concernant la gestion des demandes de droit d’accès des personnes et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard.
Cette sanction prend en compte la nature et la gravité des manquements, les catégories de données personnelles concernées par ces manquements ainsi que la taille et la situation financière de la société. Sa publicité se justifie par la nécessité de rappeler l’importance de traiter les demandes de droit des personnes et de sécuriser les données des utilisateurs.
La CNIL a retenu quatre manquements au RGPD à l’encontre de la société FREE.
Un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par les plaignants dans les délais ou qu’elle leur a apporté une réponse incomplète s’agissant de la source de leurs données.
Un manquement à l’obligation de respecter le droit d’effacement des personnes concernées (art. 12 et 21 du RGPD), puisque la société n’a pas traité les demandes des plaignants dans les délais.
Un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), puisque :
Un manquement à l’obligation de documenter une violation de données personnelles (art. 33 du RGPD), puisque la documentation établie ne permettait pas de prendre connaissance de l’ensemble des mesures prises pour remédier à l’incident relatif au reconditionnement des boîtiers « Freebox ».
La formation restreinte de la CNIL a prononcé une injonction de mise en conformité en lien avec le respect du droit d’accès. S’agissant de l’ensemble des autres manquements relevés, la formation restreinte a considéré que la société avait pris des mesures au cours de la procédure pour se mettre en conformité.
Texte reference
Sélectionné par Virginie GASTINE MENOU
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.