L’autorité a prononcé une sanction de 300 000 euros à l’encontre de Free, notamment pour ne pas avoir respecté les droits des personnes et la sécurité des données de ses utilisateurs.
Après avoir reçu plusieurs plaintes de personnes dans la prise en compte, par l’opérateur de téléphonie fixe français Free, de leurs demandes d’accès et d’effacement de leurs données personnelles, la CNIL a effectué divers contrôles, qui ont permis de constater plusieurs manquements, « notamment aux droits des personnes concernées (droit d’accès et droit d’effacement) ainsi qu’à la sécurité des données (faible robustesse des mots de passe, stockage et transmission en clair des mots de passe, remise en circulation d’environ 4 100 boîtiers Freebox mal reconditionnés). »
La CNIL a retenu quatre manquements au RGPD
– Celui de respecter le droit d’accès des personnes aux données les concernant, « puisque la société n’a pas donné suite aux demandes formulées par des plaignants dans les délais ou qu’elle leur a apporté une réponse incomplète s’agissant de la source de leurs données ».
– Celui de respecter le droit d’effacement des personnes concernées, « puisque la société n’a pas traité les demandes des plaignants dans les délais ».
– Celui d’assurer la sécurité des données personnelles :
- le mot de passe généré lors de la création d’un compte utilisateur sur le site web de la société, lors d’une procédure de récupération ou lors d’un renouvellement du mot de passe était insuffisamment robuste ;
- l’ensemble des mots de passe générés lors de la création d’un compte utilisateur sur le site web de la société était stocké en clair dans la base de données des abonnés de la société ;
- les mots de passe des utilisateurs étaient transmis par la société par mail ou courrier postal, en clair, aux utilisateurs lors de la création de leur compte sur le site web, sans que ces mots de passe ne soient temporaires et que la société impose d’en changer. De même, le mot de passe qui était associé au compte de messagerie électronique free.fr était transmis par la société par mail ou courrier postal à l’utilisateur et indiqué en clair dans le corps du message ;
- les mesures techniques et organisationnelles du processus de reconditionnement n’ont pas permis d’éviter qu’environ 4 100 boîtiers Freebox détenus par d’anciens abonnés soient réattribués à de nouveaux clients sans que les données de ces anciens abonnés qui y auraient été stockées aient été correctement effacées. Ces données pouvaient être des photos, des vidéos personnelles ou l’enregistrement des programmes de télévision.
– Celui de documenter une violation de données personnelles, puisque la documentation établie ne permettait pas de prendre connaissance de l’ensemble des mesures prises pour remédier à l’incident relatif au reconditionnement des boîtiers Freebox.
La CNIL a prononcé une injonction de mise en conformité en lien avec le respect du droit d’accès. S’agissant de l’ensemble des autres manquements relevés, elle a considéré que la société avait pris des mesures au cours de la procédure pour se mettre en conformité. Free a 3 mois pour se mettre en conformité concernant la gestion des demandes de droit d’accès des personnes, sous astreinte de 500 euros par jour de retard.
