La Cnil sanctionne Free à hauteur de 300 000 euros pour manquements au RGPD
Le gendarme français de la vie privée a prononcé une amende de 300 000 euros à l’encontre de l’opérateur Free pour avoir manqué à certaines de ses obligations au regard du RGPD, notamment en matière de droits des personnes et de sécurisation des mots de passe.
Dans une décision rendue publique jeudi 8 décembre, la Cnil condamne l’opérateur Free à une amende de 300 000 euros. "Des contrôles ont permis de constater plusieurs manquements, notamment aux droits des personnes concernées […] ainsi qu’à la sécurité des données", note l’autorité.
Le gendarme de la vie privée explique, dans sa délibération datant du 30 novembre, avoir été saisi de 41 plaintes entre octobre 2018 et novembre 2019 – 10 d’entre elles ont été retenues dans le cadre de la procédure de sanction — relatives à des difficultés exprimées par les clients de Free en matière d’exercice de leurs droits d’accès ou d’effacement, prévus par le RGPD, ou portant sur la sécurité de leurs données personnelles.
Saisines auxquelles s’est ajoutée, en février 2019, une notification de violation de données de la part de l’opérateur, qui a informé la Cnil que près de 4 100 Freebox avaient été remises en circulation sans qu’un reconditionnement effectif ait été effectué, laissant ainsi certaines données des précédents abonnés sur le disque dur de l’appareil.
Difficultés à exercer les droits prévus par le RGPD
Dans le détail, l’autorité reproche à Free sa mauvaise gestion des demandes d’accès aux données personnelles déposés par ses clients. La "société n’a pas donné suite dans les délais prescrits aux demandes […] d’exercice des droits d’accès des plaignants” ou ”elle leur a apporté une réponse incomplète s’agissant de la source de leurs données", souligne la délibération.
La Cnil pointe également du doigt les difficultés qu’ont traversées certains plaignants pour faire supprimer le compte de message électronique mis à disposition par Free, en dépit de leur demande effectuée par le formulaire que l’entreprise avait elle-même mis en œuvre.
Mots de paisse trop faibles et en clair
L’autorité française retient par ailleurs un manquement à l’obligation d’assurer la sécurité des données personnelles, en raison de la trop faible robustesse des mots de passé générés à l’inscription d’un compte utilisateur ou au renouvellement de son mot de passe et du stockage et de la transmission de ces derniers en clair.
Enfin, concernant la question de l’absence de reconditionnement effectif de plus de 4 000 de ses Freebox, la Cnil considère que l’entreprise a, là aussi, failli à ses obligations en matière de sécurité des données personnelles. Faute d’avoir procédé à l’effacement complet de certains disques durs, de nouveaux abonnés auraient ainsi pu avoir accès aux fichiers téléchargés par les précédents propriétaires de l’équipement.
Alors que la société avance que la "gravité de cet incident doit être nuancée compte tenu de la nature des données usuellement stockées sur les Freebox", principalement l’enregistrement des programmes TV, la Cnil considère "que cet usage courant ne permet pas d’écarter la possibilité que certains des boîtiers Freebox mal reconditionnés contiennent des photos ou des vidéos personnelles, qui ont un caractère hautement personnel."
La Cnil exhorte désormais Free, qui comptait 6,9 millions d’abonnés en 2021, à apporter une "réponse exhaustive" aux demandes des abonnés qui ont saisi le régulateur français sous un délai d’un mois, sous peine d’une astreinte de 500 euros par jour de retard.
SUR LE MÊME SUJET
La Cnil sanctionne Free à hauteur de 300 000 euros pour manquements au RGPD
Tous les champs sont obligatoires
0Commentaire
Réagir
