Free sanctionné suite aux manquements face aux demandes clients sur leurs données

L’opérateur télécoms Free devra régler une amende de 300 000 € pour ses manquements lors de demandes de ses clients sur leurs données et des défauts sur la sécurisation des données.

Des plaintes à la Cnil ont déclenché le contrôle

Comme souvent, le contrôle de Free par la Cnil a été déclenché à la suite de plusieurs plaintes par des personnes rencontrant des difficultés lors de demandes d’accès et d’effacement de leurs données personnelles. On ne peut que souligner que la première responsabilité d’un DPO (Data Protection Officer) est de demander que toutes les requêtes et réclamations des clients concernant leurs données leur soient immédiatement transmises. « C’est ce que j’ai demandé dès que je suis arrivé en poste » réagissait récemment le DPO d’un grand distributeur lors d’une conférence sur la sécurité. Un contrôle déclenché à la suite de plaintes fait souvent apparaitre d’autres manquements. « C’est bien que la Cnil fasse des contrôles, mais c’est mieux quand c’est chez les autres » soupirait le même DPO.

Chez Free, le contrôle déclenché par la Cnil a été l’occasion de détecter plusieurs manquements. Il s’agit du droit d’accès et du droit d’effacement des données. Et il y avait des manquements à la sécurité des données plus basique des données. Cela concerne la faible robustesse des mots de passe, le stockage et la transmission en clair des mots de passe et la remise en circulation d’environ 4 100 boîtiers Freebox mal reconditionnés.

A ce jour, Free doit encore se mettre en conformité concernant la gestion des demandes de droit d’accès des personnes et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard.

4 manquements au RGPD retenus contre Free

La Cnil a retenu 4 manquements au RGPD de Free. Free a manqué à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par les plaignants dans les délais ou qu’elle leur a apporté une réponse incomplète s’agissant de la source de leurs données.

Il y a eu un manquement à l’obligation de respecter le droit d’effacement des personnes concernées (art. 12 et 21 du RGPD), car Free n’a pas traité les demandes des plaignants dans les délais. La Cnil pointe par ailleurs un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD).

La Cnil s’appuie sur le fait que le mot de passe généré lors de la création d’un compte utilisateur sur le site web de Free, lors d’une procédure de récupération ou lors d’un renouvellement du mot de passe était insuffisamment robuste. De plus, tous les mots de passe générés lors de la création d’un compte utilisateur sur le site web de la société étaient stockés en clair dans la base de données des abonnés de la société.

Des mots de passe transmis en clair aux clients

Les mots de passe des utilisateurs étaient transmis par la société par e-mail ou par courrier postal, en clair, aux utilisateurs lors de la création de leur compte sur le site web, sans que ces mots de passe ne soient temporaires et que la société impose d’en changer. De même, le mot de passe qui était associé au compte de messagerie électronique « free.fr » était transmis par la société par courriel ou courrier postal à l’utilisateur et indiqué en clair dans le corps du message.

Point nouveau dans un contrôle de la Cnil, celle-ci s’est penchée sur le reconditionnement des box internet de Free. Les mesures techniques et organisationnelles du processus de reconditionnement n’ont pas permis d’éviter qu’environ 4 100 boîtiers Freebox détenus par d’anciens abonnés soient réattribués à de nouveaux clients sans que les données de ces anciens abonnés qui y auraient été stockées aient été correctement effacées. Ces données pouvaient être des photos, des vidéos personnelles ou l’enregistrement des programmes de télévision.

Il y a alors eu un manquement à l’obligation de documenter une violation de données personnelles (art. 33 du RGPD), puisque la documentation établie ne permettait pas de prendre connaissance de l’ensemble des mesures prises pour remédier à l’incident relatif au reconditionnement des boîtiers Freebox.