La CNIL inflige une amende de 300 000 € à Free pour ne pas avoir sécurisé les données des utilisateurs

La CNIL, la Commission nationale de l'informatique et des libertés, vient d'infliger une amende de 300 000 € à Free. L'institution reproche à l'opérateur plusieurs manquements concernant les droits d'accès et d'effacement des données personnelles des utilisateurs. 

Après Discord et son amende de 800 000 euros pour non-respect du RPGD, la CNIL a décidé de sanctionner l'opérateur Free pour plusieurs manquements au Règlement général de protection des données. Dans un communiqué de presse publié ce 8 décembre 2022, la Commission nationale de l'informatique et des libertés explique avoir prononcé une sanction de 300 000 euros à l'encontre de Free après avoir constaté plusieurs manquements au respect du droit des personnes et la sécurité des données personnelles des utilisateurs.

Après avoir été saisie par plusieurs plaignants, la CNIL a mené plusieurs contrôles. Ils ont permis d'observer de nombreux écarts, notamment dans le respect des droits d'accès et d'effacement des données personnelles des utilisateurs. En effet, l'opérateur n'a pas donné suite aux demandes formulées par les plaignants dans les délais réglementaires. Ensuite, l'entreprise n'a pas traité les demandes d'effacement de données des plaignants, ici encore dans les délais imposés par le RGPD.

A lire également : La CNIL veut renforcer la protection de vos données personnelles dans les applications Android et iOS

Des manquements graves sur la sécurité des données

La CNIL mentionne également des ratés dans la sécurité des données offerte aux clients. Selon l'enquête menée par l'institution, les mots de passe générés lors de la création d'un compte utilisateur ou bien lors d'une procédure de récupération/renouvellement n'étaient pas suffisamment robustes. Il faut ajouter à cela le stockage en clair sur une base de données l'ensemble des mots de passe générés pour la création d'un compte utilisateur…

Cerise sur le gâteau, les mots de passe des utilisateurs étaient transmis par courriel ou courrier postal en clair, lors de la création de leur compte sur le site web. Un manquement d'autant plus inquiétant qu'il ne s'agissait pas de mot de passe temporaire. Enfin, la CNIL a constaté que Free avait remis en circulation 4100 boitiers Freebox qui n'ont pas été correctement reconditionnés. En d'autres termes, ces box contenaient encore des données appartenant aux précédents abonnés, comme des photos et des vidéos personnelles.

Outre le paiement de l'amende, la CNIL réclame à ce que Free se mette en conformité concernant la gestion des demandes de droit d'accès et d'effacement des personnes dans un délai de 3 mois, sous peine d'une pénalité de 500 € par jour de retard. De son côté, l'opérateur a dénoncé la décision de la CNIL dans les colonnes du Monde. Free trouve dommageable que la CNIL “sanctionne des faits passés, intervenus durant les premiers mois de l'entrée en vigueur du RGPD (2018-2019) et assure que les mesures nécessaires à la mise en conformité de la société ont été prises depuis les faits”. Le trublion du net ajoute qu'il étudie “les suites à donner à cette décision”. Pour rappel, la CNIL avait déjà épinglé Free Mobile pour des manquements au RGPD en janvier 2022.