Les faits reprochés à la société Free
La CNIL a reçu plusieurs plaintes concernant les difficultés rencontrées par des personnes dans la prise en compte, par l’opérateur de téléphonie fixe français Free, de leurs demandes d’accès et d’effacement de leurs données personnelles.
A cet égard, la société Free (Free Mobile) avait déjà été sanctionné par l'autorité de contrôle le 28 décembre 2021, d'une amende de 300 000, notamment pour ne pas avoir respecté les droits des personnes et la sécurité des données de ses utilisateurs.
Les manquements retenus
Les contrôles opérés en conséquence ont permis de constater plusieurs manquements au RGPD. La CNIL en a retenu quatre à l’encontre de la société Free.
L’obligation de respecter le droit d’accès
En premier lieu, la CNIL retient un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par les plaignants dans les délais ou qu’elle leur a apporté une réponse incomplète s’agissant de la source de leurs données.
Notons ici que l’organisme à qui est adressé une demande de droit d'accès doit répondre dans les meilleurs délais et au plus tard dans un délai d’un mois, qui peut être porté à trois mois compte tenu de la complexité de la demande ou du nombre de demandes que l’organisme a reçu.
L’obligation de respecter le droit d’effacement
Ensuite, la CNIL souligne le manquement de la société à l’obligation de respecter le droit d’effacement des personnes concernées (art. 12 et 21 du RGPD), puisque la société n’a pas traité les demandes des plaignants dans les délais.
Dernièrement, la CNIL a sanctionné la société EDF d’une amende de 600 000 euros, notamment pour ne pas avoir respecté ses obligations en matière de prospection commerciale et de droits des personnes.
L’obligation de documenter une violation de données personnelles
Par ailleurs, l'autorité de contrôle a retenu un manquement à l’obligation de documenter une violation de données personnelles (art. 33 du RGPD). Si la documentation était bien établie, celle-ci ne permettait pas, en revanche, de prendre connaissance de l’ensemble des mesures prises pour remédier à l’incident relatif au reconditionnement des boîtiers « Freebox ».
Rappelons ici que l'article 33.5 du RGPD impose à chaque organisme de tenir une documentation des violations de données.
Cette obligation suppose de documenter en interne l’incident en déterminant : -> la nature de la violation; -> si possible, les catégories et le nombre approximatif de personnes concernées par la violation; -> les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés; -> décrire les conséquences probables de la violation de données ; -> décrire les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.
L’obligation d’assurer la sécurité des données personnelles
Enfin, et c'est peut-être l'élément le plus important de cette décision, la CNIL souligne le manquement de Free à son obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD).
Plus précisément, et pour retenir cette atteinte à l'obligation de sécurité, la CNIL insiste sur la politique de mots de passe mise en place par la société, dans la mesure où :
le mot de passe généré lors de la création d’un compte utilisateur sur le site web de la société, lors d’une procédure de récupération ou lors d’un renouvellement du mot de passe était insuffisamment robuste ;
l’ensemble des mots de passe générés lors de la création d’un compte utilisateur sur le site web de la société était stocké en clair dans la base de données des abonnés de la société ;
les mots de passe des utilisateurs étaient transmis par la société par courriel ou courrier postal, en clair, aux utilisateurs lors de la création de leur compte sur le site web, sans que ces mots de passe ne soient temporaires et que la société impose d’en changer. De même, le mot de passe qui était associé au compte de messagerie électronique « free.fr » était transmis par la société par courriel ou courrier postal à l’utilisateur et indiqué en clair dans le corps du message ;
les mesures techniques et organisationnelles du processus de reconditionnement ont été jugés insuffisant. Ils n’ont pas permis d’éviter qu’environ 4 100 boîtiers « Freebox » détenus par d’anciens abonnés soient réattribués à de nouveaux clients sans que les données de ces anciens abonnés qui y auraient été stockées aient été correctement effacées. Ces données pouvaient être des photos, des vidéos personnelles ou l’enregistrement des programmes de télévision.
Notons également que l'autorité de contrôle britannique a adopté une décision similaire dans sa portée en sanctionnant l’entreprise Interserve pour avoir failli à son obligation de protéger et sécuriser les informations personnelles de son personnel.
Une sanction exemplaire
La présente décision de la CNIL, se veut exemplaire.
En effet, si l'amende de 300 000 euros n'est pas particulièrement dissuasive, la formation restreinte a en revanche décidé de rendre publique sa décision.
Les suites accordées à cette décision sont également assez fermes. La CNIL a, à ce titre, enjoint à la société de se mettre en conformité concernant la gestion des demandes de droit d’accès des personnes et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard.
La sanction appliquée à la société Free prend en compte la nature et la gravité des manquements et les catégories de données personnelles concernées par ces manquements. En particulier, la CNIL s'appuie sur sa taille et sa situation financière, pour indiquer que de tels manquements ne sont, de toute évidence, pas acceptables de la part de la société Free.
Sa publicité se justifie dès lors par la nécessité de rappeler l’importance de traiter les demandes de droit des personnes et de sécuriser les données des utilisateurs.