RGPD : Free sanctionné à hauteur de 300.000 €

8 décembre 2022

La Cnil inflige à l’opérateur de téléphonie Free une amende de 300.000 €, notamment pour ne pas avoir respecté la sécurité des données de ses utilisateurs, et l'enjoint à se mettre en conformité sous un délai de 3 mois sous astreinte de 500 € par jour de retard.La Commission nationale de l'informatique et des libertés (Cnil) a reçu plusieurs plaintes concernant les difficultés rencontrées par des personnes dans la prise en compte, par l’opérateur de téléphonie fixe français Free, de leurs demandes d’accès et d’effacement de leurs données personnelles.

Des contrôles ont permis de constater quatre manquements au règlement général sur la protection des données (règlement 2016/679 du 27 avril 2016 - RGPD) :- un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant, la société n’ayant pas donné suite aux demandes formulées par les plaignants dans les délais ou qu’elle leur a apporté une réponse incomplète s’agissant de la source de leurs données ;- un manquement à l’obligation de respecter le droit d’effacement des personnes concernées puisque la société n’a pas traité les demandes des plaignants dans les délais ;- un manquement à l’obligation d’assurer la sécurité des données personnelles, étant donnés la faible robustesse des mots de passe, le stockage et transmission en clair de ceux-ci ou encore la remise en circulation d’environ 4.100 boîtiers "Freebox" mal reconditionnés ;- un manquement à l’obligation de documenter une violation de données personnelles. En conséquence, par une délibération SAN-2022-022 du 30 novembre 2022, rendue publique le 8 décembre 2022, la formation restreinte de la Cnil prononce à l’encontre de la société Free une amende de 300.000 € et l'enjoint à se mettre en conformité concernant la gestion des demandes de droit d’accès des personnes et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 € par jour de retard.