Multiples violations du RGPD : sanction de la CNIL à l’encontre de la société FREE
Vente de fichier client : CAMAÏEU renonce à la mise aux enchères de sa base de données
15 décembre 2022
Processus d’adoption d’une décision d’adéquation : le transfert de données vers les Etats-Unis sera-t-il possible ?
22 décembre 2022Après avoir constaté plusieurs manquements au RGPD, la CNIL a prononcé une amende de 300 000 euros à l’encontre de la société FREE, célèbre fournisseur d’accès à Internet et opérateur de téléphonie mobile français.
Suite à la réception de plusieurs plaintes d’abonnés de FREE exprimant leur difficulté à faire valoir leurs demandes d’accès et d’effacement de leurs données personnelles, la CNIL a décidé de contrôler la conformité au RGPD de l’opérateur de téléphonie français.
De ces contrôles, la CNIL a retenu quatre manquements au RGPD à l’encontre de la société FREE :
- Un manquement à l’obligation de respecter le droit d’accès (article 12 et 15 du RGPD), conformément aux plaintes initiales des abonnés : le délai n’est généralement pas respecté ou la réponse émise incomplète.
- Un manquement à l’obligation de respecter le droit d’effacement (article 12 et 21 du RGPD), une nouvelle fois par non-respect des délais.
- Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD) : les violations sont ici nombreuses – mots de passe générés lors de la création d’un compte utilisateur insuffisamment robuste, mots de passe qui étaient stockés en clair dans leur base de données et transmis par e-mail ou courrier postal sans obligation de les changer. De plus, environ 4 100 boîtiers Freebox ont été réattribués à des nouveaux clients sans que les données des précédents abonnés aient été effacées.
- Un manquement à l’obligation de documenter une violation de données personnelles (article 33 du RGPD), la documentation n’informant pas les mesures à prendre pour alerter de l’incident relatif aux boîtiers Freebox sus-cités.
Du fait de ces nombreuses violations, la formation restreinte de la CNIL a publiquement prononcé une amende de 300 000 euros à l’encontre de la société FREE, accompagnée d’une injonction de mise en conformité sous un délai de trois mois, avec une astreinte de 500 euros par jour de retard.
Pour en savoir plus :
Sécurité des données et droits des personnes : sanction de 300 000 euros à l’encontre de la société FREE, CNIL, 8 décembre 2022.
