Sécurité des données et droits des personnes : sanction de 300 000 euros à l’encontre de la société FREE

Le 30 novembre 2022, la CNIL a prononcé une sanction de 300 000 euros à l’encontre de la société FREE, notamment pour ne pas avoir respecté les droits des personnes et la sécurité des données de ses utilisateurs.

Le contexte

La CNIL a reçu plusieurs plaintes concernant les difficultés rencontrées par des personnes dans la prise en compte, par l’opérateur de téléphonie fixe français FREE, de leurs demandes d’accès et d’effacement de leurs données personnelles.

Des contrôles ont permis de constater plusieurs manquements, notamment aux droits des personnes concernées (droit d’accès et droit d’effacement) ainsi qu’à la sécurité des données (faible robustesse des mots de passe, stockage et transmission en clair des mots de passe, remise en circulation d’environ 4 100 boîtiers « Freebox » mal reconditionnés).

En conséquence, la formation restreinte – organe de la CNIL chargé des sanctions – a prononcé à l’encontre de la société FREE une amende de 300 000 euros et a décidé de rendre publique sa décision. Elle a également enjoint à la société de se mettre en conformité concernant la gestion des demandes de droit d’accès des personnes et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard.

Cette sanction prend en compte la nature et la gravité des manquements, les catégories de données personnelles concernées par ces manquements ainsi que la taille et la situation financière de la société. Sa publicité se justifie par la nécessité de rappeler l’importance de traiter les demandes de droit des personnes et de sécuriser les données des utilisateurs.

Les manquements sanctionnés

La CNIL a retenu quatre manquements au RGPD à l’encontre de la société FREE.

Un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par les plaignants dans les délais ou qu’elle leur a apporté une réponse incomplète s’agissant de la source de leurs données.

Un manquement à l’obligation de respecter le droit d’effacement des personnes concernées (art. 12 et 21 du RGPD), puisque la société n’a pas traité les demandes des plaignants dans les délais.

Un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), puisque :

• le mot de passe généré lors de la création d’un compte utilisateur sur le site web de la société, lors d’une procédure de récupération ou lors d’un renouvellement du mot de passe était insuffisamment robuste ;
• l’ensemble des mots de passe générés lors de la création d’un compte utilisateur sur le site web de la société était stocké en clair dans la base de données des abonnés de la société ;
• les mots de passe des utilisateurs étaient transmis par la société par courriel ou courrier postal, en clair, aux utilisateurs lors de la création de leur compte sur le site web, sans que ces mots de passe ne soient temporaires et que la société impose d’en changer. De même, le mot de passe qui était associé au compte de messagerie électronique « free.fr » était transmis par la société par courriel ou courrier postal à l’utilisateur et indiqué en clair dans le corps du message ;
• les mesures techniques et organisationnelles du processus de reconditionnement n’ont pas permis d’éviter qu’environ 4 100 boîtiers « Freebox » détenus par d’anciens abonnés soient réattribués à de nouveaux clients sans que les données de ces anciens abonnés qui y auraient été stockées aient été correctement effacées. Ces données pouvaient être des photos, des vidéos personnelles ou l’enregistrement des programmes de télévision.

Un manquement à l’obligation de documenter une violation de données personnelles (art. 33 du RGPD), puisque la documentation établie ne permettait pas de prendre connaissance de l’ensemble des mesures prises pour remédier à l’incident relatif au reconditionnement des boîtiers « Freebox ».

La formation restreinte de la CNIL a prononcé une injonction de mise en conformité en lien avec le respect du droit d’accès. S’agissant de l’ensemble des autres manquements relevés, la formation restreinte a considéré que la société avait pris des mesures au cours de la procédure pour se mettre en conformité.

Texte reference

La délibération

> Délibération de la formation restreinte n°SAN-2022-022 du 30 novembre 2022 concernant la société FREE - Légifrance

‍

‍

Sélectionné par Virginie GASTINE MENOU