Blog Données personnelles
La CNIL prononce une sanction de 300 000 euros à l’encontre de la société FREE
Dans une délibération en date du 30 novembre 2022 [1], la CNIL a prononcé une sanction d’un montant de 300 000 euros à l’encontre de la société FREE, notamment pour ne pas avoir respecté les droits des personnes et la sécurité des données de ses utilisateurs.
I. Les faits et la procédure
Entre le mois d’octobre 2018 et le mois de novembre 2019, la CNIL a été saisie de plusieurs plaintes à l’encontre de la société FREE. Les plaignants faisaient notamment état de difficultés rencontrées dans l’exercice de leurs droits d’accès ou d’effacement. Certaines de ces saisines étaient également relatives à la sécurité des données à caractère personnel des clients de la société.
Des contrôles réalisés par la CNIL ont permis de constater plusieurs manquements au RGPD, notamment concernant les droits des personnes concernées ainsi que la sécurité des données.
En conséquence, la formation restreinte de la CNIL a prononcé une amende de 300 000 euros à l’encontre de la société FREE. Elle a également enjoint à la société de se mettre en conformité concernant la gestion des demandes de droit d’accès des personnes et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard.
II. Les motifs de la décision
Parmi les différents manquements soulevés à l’encontre de la société FREE, la formation restreinte de la CNIL en a retenu quatre :
- un manquement à l’obligation de respecter le droit d’accès des personnes (articles 12 et 15 du RGPD), car la société n’a d’une part pas traité les demandes d’accès qui lui ont été adressées dans le délai qui lui était imparti, laissant ainsi les personnes dans l’ignorance des données traitées par la société les concernant, et d’autre part elle leur a apporté une réponse incomplète s’agissant de la source de leurs données.
- un manquement à l’obligation de respecter le droit d’effacement des personnes concernées (articles 12 et 21 du RGPD). En effet, la société n’a pas traité les demandes des plaignants dans les délais.
- un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD), à plusieurs égards :
- les mots de passe générés lors de la création des comptes utilisateurs sur le site web de la société FREE étaient insuffisamment robustes, et ceux-ci étaient stockés en clair dans la base de données des abonnés de la société ;
- les mots de passe des utilisateurs étaient transmis par la société par courriel ou courrier postal, en clair, aux utilisateurs lors de la création de leur compte sur le site web, sans que ces mots de passe ne soient temporaires et que la société impose d’en changer ;
- les mesures techniques et organisationnelles du processus de reconditionnement n’ont pas permis d’éviter qu’environ 4 100 boîtiers « Freebox » détenus par d’anciens abonnés soient réattribués à de nouveaux clients sans que les données de ces anciens abonnés qui y auraient été stockées aient été correctement effacées.
- un manquement à l’obligation de documenter une violation de données personnelles (article 33 du RGPD), puisque la documentation établie lors des contrôles ne permettait pas de prendre connaissance de l’ensemble des mesures prises par la société FREE afin de remédier à l’incident relatif au reconditionnement des boitiers « Freebox » et par conséquent à la violation de données à caractère personnel.
Hormis le prononcé d’une injonction de mise en conformité en lien avec le respect du droit d’accès, il convient de souligner que pour le reste, la société FREE a pris les mesures adéquates au cours de la procédure pour se mettre en conformité au RGPD.
[1] Délibération de la formation restreinte n°SAN-2022-022 du 30 novembre 2022 concernant la société FREE