L’autorité vient de condamner l’opérateur français à une amende de 300 000 euros pour plusieurs manquements au règlement général sur la protection des données.
Une seconde amende pour Free de la part de la Commission nationale de l’informatique et des libertés (Cnil). Début 2022, l’autorité lui avait infligé une amende de 300 000 euros pour ne pas avoir respecté les droits des personnes ainsi que la sécurité des données des utilisateurs. Elle vient à nouveau de sanctionner l’opérateur d’une amende d’un même montant pour des motifs similaires.
« Cette sanction prend en compte la nature et la gravité des manquements, les catégories de données personnelles concernées par ces manquements ainsi que la taille et la situation financière de la société », indique la Cnil dans un communiqué.
Une amende accompagnée d’une injonction sous astreinte
Après avoir reçu plusieurs plaintes, l’autorité a effectué des contrôles lui ayant permis de constater plusieurs manquements au règlement général sur la protection des données (RGPD). Pour commencer, ces derniers concernent les droits des personnes. La Cnil explique en effet que Free n’a pas respecté le droit d’accès des personnes aux données les concernant en ne donnant pas suite aux « demandes formulées par les plaignants dans les délais » ou en leur apportant « une réponse incomplète s’agissant de la source de leurs données ». La société n’a également pas respecté le droit d’effacement des individus concernés en ne traitant pas les demandes des plaignants dans les délais.
La Cnil reproche en outre à l’opérateur un manque de sécurisation des données personnelles pour plusieurs raisons. Elle mentionne des mots de passe « insuffisamment robustes », « stockés en clair dans la base de données des abonnés » et « transmis en clair par courriel ou courrier postal ». Elle l’accuse aussi de ne pas avoir éviter la réattribution d’environ 4 100 boîtiers Freebox à de nouveaux clients sans que les données (photos, vidéos, enregistrement de programmes de télévision) stockées des anciens abonnés soient correctement effacées.
En plus des 300 000 euros d’amende, la Cnil laisse trois mois à Free pour se mettre en conformité par rapport à la gestion des demandes des droits d’accès des personnes. Sinon, la société devra payer 500 euros par jour de retard. Free a réagi à la décision de l’autorité, regrettant qu’elle « sanctionne des faits passés, intervenus durant les premiers mois de l’entrée en vigueur du règlement général sur la protection des données (2018-2019) ». Elle a affirmé auprès du Monde avoir pris les mesures nécessaires à sa mise en conformité depuis les faits.