La Cnil sanctionne Free à hauteur de 300 000 euros pour manquements au RGPD

Le gendarme français de la vie privée a prononcé une amende de 300 000 euros à l’encontre de l’opérateur Free pour avoir manqué à certaines de ses obligations au regard du RGPD, notamment en matière de droits des personnes et de sécurisation des mots de passe.

Partager
La Cnil sanctionne Free à hauteur de 300 000 euros pour manquements au RGPD

Dans une décision rendue publique jeudi 8 décembre, la Cnil condamne l’opérateur Free à une amende de 300 000 euros. "Des contrôles ont permis de constater plusieurs manquements, notamment aux droits des personnes concernées […] ainsi qu’à la sécurité des données", note l’autorité.

Le gendarme de la vie privée explique, dans sa délibération datant du 30 novembre, avoir été saisi de 41 plaintes entre octobre 2018 et novembre 2019 – 10 d’entre elles ont été retenues dans le cadre de la procédure de sanction — relatives à des difficultés exprimées par les clients de Free en matière d’exercice de leurs droits d’accès ou d’effacement, prévus par le RGPD, ou portant sur la sécurité de leurs données personnelles.

Saisines auxquelles s’est ajoutée, en février 2019, une notification de violation de données de la part de l’opérateur, qui a informé la Cnil que près de 4 100 Freebox avaient été remises en circulation sans qu’un reconditionnement effectif ait été effectué, laissant ainsi certaines données des précédents abonnés sur le disque dur de l’appareil.

Difficultés à exercer les droits prévus par le RGPD

Dans le détail, l’autorité reproche à Free sa mauvaise gestion des demandes d’accès aux données personnelles déposés par ses clients. La "société n’a pas donné suite dans les délais prescrits aux demandes […] d’exercice des droits d’accès des plaignants” ou ”elle leur a apporté une réponse incomplète s’agissant de la source de leurs données", souligne la délibération.

La Cnil pointe également du doigt les difficultés qu’ont traversées certains plaignants pour faire supprimer le compte de message électronique mis à disposition par Free, en dépit de leur demande effectuée par le formulaire que l’entreprise avait elle-même mis en œuvre.

Mots de paisse trop faibles et en clair

L’autorité française retient par ailleurs un manquement à l’obligation d’assurer la sécurité des données personnelles, en raison de la trop faible robustesse des mots de passé générés à l’inscription d’un compte utilisateur ou au renouvellement de son mot de passe et du stockage et de la transmission de ces derniers en clair.

Enfin, concernant la question de l’absence de reconditionnement effectif de plus de 4 000 de ses Freebox, la Cnil considère que l’entreprise a, là aussi, failli à ses obligations en matière de sécurité des données personnelles. Faute d’avoir procédé à l’effacement complet de certains disques durs, de nouveaux abonnés auraient ainsi pu avoir accès aux fichiers téléchargés par les précédents propriétaires de l’équipement.

Alors que la société avance que la "gravité de cet incident doit être nuancée compte tenu de la nature des données usuellement stockées sur les Freebox", principalement l’enregistrement des programmes TV, la Cnil considère "que cet usage courant ne permet pas d’écarter la possibilité que certains des boîtiers Freebox mal reconditionnés contiennent des photos ou des vidéos personnelles, qui ont un caractère hautement personnel."

La Cnil exhorte désormais Free, qui comptait 6,9 millions d’abonnés en 2021, à apporter une "réponse exhaustive" aux demandes des abonnés qui ont saisi le régulateur français sous un délai d’un mois, sous peine d’une astreinte de 500 euros par jour de retard.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS