[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"article_53314":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":7,"lang":12,"url":13,"intro":14,"featured":4,"state":15,"author":16,"authorId":17,"datePublication":21,"dateCreation":22,"dateUpdate":23,"mainCategory":24,"categories":39,"metaDatas":66,"imageUrl":67,"imageThumbUrls":68,"id":76},false,"## Les faits reprochés à la société Free\r\n\r\nLa CNIL a reçu plusieurs plaintes concernant les difficultés rencontrées par des personnes dans la prise en compte, par l’opérateur de téléphonie fixe français Free, de leurs **demandes d’accès** et **d’effacement de leurs données personnelles**.\r\n\r\nA cet égard, la société Free (Free Mobile) avait déjà été [sanctionné par l'autorité de contrôle](https://www.cnil.fr/fr/sanction-de-300-000-euros-lencontre-de-la-societe-free-mobile) le 28 décembre 2021, d'une amende de 300 000, notamment pour ne pas avoir respecté les **droits des personnes et la sécurité des données** de ses utilisateurs.\r\n\r\n## Les manquements retenus\r\n\r\nLes **contrôles** opérés en conséquence ont permis de constater plusieurs manquements au RGPD. La CNIL en a retenu **quatre** à l’encontre de la société Free.\r\n\r\n### L’obligation de respecter le droit d’accès\r\n\r\nEn premier lieu, la CNIL retient un manquement à **l’obligation de respecter le droit d’accès** des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a **pas donné suite** aux demandes formulées par les plaignants **dans les délais** ou qu’elle leur a apporté une **réponse incomplète** s’agissant de la source de leurs données.\r\n\r\n> Notons ici que l’organisme à qui est adressé une demande de droit d'accès doit répondre dans les **meilleurs délais** et au plus tard dans un **délai d’un mois**, qui peut être porté à trois mois compte tenu de la complexité de la demande ou du nombre de demandes que l’organisme a reçu.\r\n\r\n### L’obligation de respecter le droit d’effacement\r\n\r\nEnsuite, la CNIL souligne le manquement de la société à l’obligation de respecter le **droit d’effacement** des personnes concernées (art. 12 et 21 du RGPD), puisque la société **n’a pas traité** les demandes des plaignants **dans les délais.**\r\n\r\nDernièrement, la CNIL a sanctionné la société EDF d’une amende de 600 000 euros, notamment pour ne pas avoir respecté ses obligations en matière de **prospection commerciale et de droits des personnes**.\r\n\r\n### L’obligation de documenter une violation de données personnelles\r\n\r\nPar ailleurs, l'autorité de contrôle a retenu un manquement à **l’obligation de documenter une violation de données personnelles** (art. 33 du RGPD). Si la documentation était bien établie, celle-ci ne permettait pas, en revanche, de prendre connaissance de l’ensemble des mesures prises pour remédier à l’incident relatif au reconditionnement des boîtiers « Freebox ».\r\n\r\nRappelons ici que l'article 33.5 du RGPD impose à chaque organisme de tenir une [documentation des violations de données](https://www.dastra.eu/fr/guide/quest-ce-quune-violation-de-donnees/52006).\r\n\r\n> Cette obligation suppose de documenter en interne l’incident en déterminant : -> la nature de la violation; -> si possible, les catégories et le nombre approximatif de personnes concernées par la violation; -> les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés; -> décrire les conséquences probables de la violation de données ; -> décrire les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.\r\n\r\n### L’obligation d’assurer la sécurité des données personnelles\r\n\r\nEnfin, et c'est peut-être l'**élément le plus important de cette décision**, la CNIL souligne le manquement de Free à son **obligation d’assurer la sécurité des données personnelles** (art. 32 du RGPD).\r\n\r\nPlus précisément, et pour retenir cette atteinte à l'obligation de sécurité, la CNIL insiste sur la **politique de mots de passe** mise en place par la société, dans la mesure où :\r\n\r\n- le mot de passe généré lors de la création d’un compte utilisateur sur le site web de la société, lors d’une procédure de récupération ou lors d’un renouvellement du mot de passe était **insuffisamment robuste** ;\r\n\r\n- l’ensemble des mots de passe générés lors de la création d’un compte utilisateur sur le site web de la société était **stocké en clair dans la base de données des abonnés de la société** ;\r\n\r\n- les mots de passe des utilisateurs étaient **transmis par la société par courriel ou courrier postal, en clair,** aux utilisateurs lors de la création de leur compte sur le site web, **sans que ces mots de passe ne soient temporaires et que la société impose d’en changer**. De même, le mot de passe qui était associé au compte de messagerie électronique « free.fr » était transmis par la société par courriel ou courrier postal à l’utilisateur et indiqué en clair dans le corps du message ;\r\n\r\n- les **mesures techniques et organisationnelles** du processus de reconditionnement ont été jugés insuffisant. Ils n’ont pas permis d’éviter qu’environ 4 100 boîtiers « Freebox » détenus par d’anciens abonnés soient **réattribués à de nouveaux clients** sans que les données de ces anciens abonnés qui y auraient été stockées aient été **correctement effacées**. Ces données pouvaient être des photos, des vidéos personnelles ou l’enregistrement des programmes de télévision.\r\n\r\nNotons également que l'autorité de contrôle britannique a adopté une [décision similaire](https://www.dastra.eu/fr/article/le-controleur-britannique-inflige-une-amende-de-4-4-millions-de-livres-pour-avoir-omis-de-proteger-les-informations-personnelles-de-son-personnel/52918) dans sa portée en sanctionnant l’entreprise Interserve pour avoir **failli à son obligation de protéger et sécuriser les informations personnelles de son personnel**.\r\n\r\n## Une sanction exemplaire\r\n\r\nLa présente décision de la CNIL, se veut **exemplaire**.\r\n\r\nEn effet, si l'amende de 300 000 euros n'est **pas particulièrement dissuasive**, la formation restreinte a en revanche décidé de **rendre publique sa décision**.\r\n\r\nLes suites accordées à cette décision sont également assez fermes. La CNIL a, à ce titre, enjoint à la société de se mettre en conformité concernant la gestion des demandes de droit d’accès des personnes et d’en **justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard**.\r\n\r\nLa sanction appliquée à la société Free prend en compte la **nature et la gravité des manquements et les catégories de données personnelles concernées** par ces manquements. En particulier, la CNIL s'appuie sur sa **taille et sa situation financière**, pour indiquer que de tels manquements ne sont, de toute évidence, **pas acceptables de la part de la société Free**.\r\n\r\nSa **publicité** se justifie dès lors par la nécessité de rappeler l’importance de **traiter les demandes de droit** des personnes et de **sécuriser les données des utilisateurs**.","\u003Ch2 id=\"les-faits-reproches-a-la-societe-free\">Les faits reprochés à la société Free\u003C/h2>\r\n\u003Cp>La CNIL a reçu plusieurs plaintes concernant les difficultés rencontrées par des personnes dans la prise en compte, par l’opérateur de téléphonie fixe français Free, de leurs \u003Cstrong>demandes d’accès\u003C/strong> et \u003Cstrong>d’effacement de leurs données personnelles\u003C/strong>.\u003C/p>\r\n\u003Cp>A cet égard, la société Free (Free Mobile) avait déjà été \u003Ca href=\"https://www.cnil.fr/fr/sanction-de-300-000-euros-lencontre-de-la-societe-free-mobile\" rel=\"nofollow\">sanctionné par l'autorité de contrôle\u003C/a> le 28 décembre 2021, d'une amende de 300 000, notamment pour ne pas avoir respecté les \u003Cstrong>droits des personnes et la sécurité des données\u003C/strong> de ses utilisateurs.\u003C/p>\r\n\u003Ch2 id=\"les-manquements-retenus\">Les manquements retenus\u003C/h2>\r\n\u003Cp>Les \u003Cstrong>contrôles\u003C/strong> opérés en conséquence ont permis de constater plusieurs manquements au RGPD. La CNIL en a retenu \u003Cstrong>quatre\u003C/strong> à l’encontre de la société Free.\u003C/p>\r\n\u003Ch3 id=\"lobligation-de-respecter-le-droit-dacces\">L’obligation de respecter le droit d’accès\u003C/h3>\r\n\u003Cp>En premier lieu, la CNIL retient un manquement à \u003Cstrong>l’obligation de respecter le droit d’accès\u003C/strong> des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a \u003Cstrong>pas donné suite\u003C/strong> aux demandes formulées par les plaignants \u003Cstrong>dans les délais\u003C/strong> ou qu’elle leur a apporté une \u003Cstrong>réponse incomplète\u003C/strong> s’agissant de la source de leurs données.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>Notons ici que l’organisme à qui est adressé une demande de droit d'accès doit répondre dans les \u003Cstrong>meilleurs délais\u003C/strong> et au plus tard dans un \u003Cstrong>délai d’un mois\u003C/strong>, qui peut être porté à trois mois compte tenu de la complexité de la demande ou du nombre de demandes que l’organisme a reçu.\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch3 id=\"lobligation-de-respecter-le-droit-deffacement\">L’obligation de respecter le droit d’effacement\u003C/h3>\r\n\u003Cp>Ensuite, la CNIL souligne le manquement de la société à l’obligation de respecter le \u003Cstrong>droit d’effacement\u003C/strong> des personnes concernées (art. 12 et 21 du RGPD), puisque la société \u003Cstrong>n’a pas traité\u003C/strong> les demandes des plaignants \u003Cstrong>dans les délais.\u003C/strong>\u003C/p>\r\n\u003Cp>Dernièrement, la CNIL a sanctionné la société EDF d’une amende de 600 000 euros, notamment pour ne pas avoir respecté ses obligations en matière de \u003Cstrong>prospection commerciale et de droits des personnes\u003C/strong>.\u003C/p>\r\n\u003Ch3 id=\"lobligation-de-documenter-une-violation-de-donnees-personnelles\">L’obligation de documenter une violation de données personnelles\u003C/h3>\r\n\u003Cp>Par ailleurs, l'autorité de contrôle a retenu un manquement à \u003Cstrong>l’obligation de documenter une violation de données personnelles\u003C/strong> (art. 33 du RGPD). Si la documentation était bien établie, celle-ci ne permettait pas, en revanche, de prendre connaissance de l’ensemble des mesures prises pour remédier à l’incident relatif au reconditionnement des boîtiers « Freebox ».\u003C/p>\r\n\u003Cp>Rappelons ici que l'article 33.5 du RGPD impose à chaque organisme de tenir une \u003Ca href=\"https://www.dastra.eu/fr/guide/quest-ce-quune-violation-de-donnees/52006\">documentation des violations de données\u003C/a>.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>Cette obligation suppose de documenter en interne l’incident en déterminant : -> la nature de la violation; -> si possible, les catégories et le nombre approximatif de personnes concernées par la violation; -> les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés; -> décrire les conséquences probables de la violation de données ; -> décrire les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch3 id=\"lobligation-dassurer-la-securite-des-donnees-personnelles\">L’obligation d’assurer la sécurité des données personnelles\u003C/h3>\r\n\u003Cp>Enfin, et c'est peut-être l'\u003Cstrong>élément le plus important de cette décision\u003C/strong>, la CNIL souligne le manquement de Free à son \u003Cstrong>obligation d’assurer la sécurité des données personnelles\u003C/strong> (art. 32 du RGPD).\u003C/p>\r\n\u003Cp>Plus précisément, et pour retenir cette atteinte à l'obligation de sécurité, la CNIL insiste sur la \u003Cstrong>politique de mots de passe\u003C/strong> mise en place par la société, dans la mesure où :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>le mot de passe généré lors de la création d’un compte utilisateur sur le site web de la société, lors d’une procédure de récupération ou lors d’un renouvellement du mot de passe était \u003Cstrong>insuffisamment robuste\u003C/strong> ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>l’ensemble des mots de passe générés lors de la création d’un compte utilisateur sur le site web de la société était \u003Cstrong>stocké en clair dans la base de données des abonnés de la société\u003C/strong> ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>les mots de passe des utilisateurs étaient \u003Cstrong>transmis par la société par courriel ou courrier postal, en clair,\u003C/strong> aux utilisateurs lors de la création de leur compte sur le site web, \u003Cstrong>sans que ces mots de passe ne soient temporaires et que la société impose d’en changer\u003C/strong>. De même, le mot de passe qui était associé au compte de messagerie électronique « free.fr » était transmis par la société par courriel ou courrier postal à l’utilisateur et indiqué en clair dans le corps du message ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>les \u003Cstrong>mesures techniques et organisationnelles\u003C/strong> du processus de reconditionnement ont été jugés insuffisant. Ils n’ont pas permis d’éviter qu’environ 4 100 boîtiers « Freebox » détenus par d’anciens abonnés soient \u003Cstrong>réattribués à de nouveaux clients\u003C/strong> sans que les données de ces anciens abonnés qui y auraient été stockées aient été \u003Cstrong>correctement effacées\u003C/strong>. Ces données pouvaient être des photos, des vidéos personnelles ou l’enregistrement des programmes de télévision.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Notons également que l'autorité de contrôle britannique a adopté une \u003Ca href=\"https://www.dastra.eu/fr/article/le-controleur-britannique-inflige-une-amende-de-4-4-millions-de-livres-pour-avoir-omis-de-proteger-les-informations-personnelles-de-son-personnel/52918\">décision similaire\u003C/a> dans sa portée en sanctionnant l’entreprise Interserve pour avoir \u003Cstrong>failli à son obligation de protéger et sécuriser les informations personnelles de son personnel\u003C/strong>.\u003C/p>\r\n\u003Ch2 id=\"une-sanction-exemplaire\">Une sanction exemplaire\u003C/h2>\r\n\u003Cp>La présente décision de la CNIL, se veut \u003Cstrong>exemplaire\u003C/strong>.\u003C/p>\r\n\u003Cp>En effet, si l'amende de 300 000 euros n'est \u003Cstrong>pas particulièrement dissuasive\u003C/strong>, la formation restreinte a en revanche décidé de \u003Cstrong>rendre publique sa décision\u003C/strong>.\u003C/p>\r\n\u003Cp>Les suites accordées à cette décision sont également assez fermes. La CNIL a, à ce titre, enjoint à la société de se mettre en conformité concernant la gestion des demandes de droit d’accès des personnes et d’en \u003Cstrong>justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard\u003C/strong>.\u003C/p>\r\n\u003Cp>La sanction appliquée à la société Free prend en compte la \u003Cstrong>nature et la gravité des manquements et les catégories de données personnelles concernées\u003C/strong> par ces manquements. En particulier, la CNIL s'appuie sur sa \u003Cstrong>taille et sa situation financière\u003C/strong>, pour indiquer que de tels manquements ne sont, de toute évidence, \u003Cstrong>pas acceptables de la part de la société Free\u003C/strong>.\u003C/p>\r\n\u003Cp>Sa \u003Cstrong>publicité\u003C/strong> se justifie dès lors par la nécessité de rappeler l’importance de \u003Cstrong>traiter les demandes de droit\u003C/strong> des personnes et de \u003Cstrong>sécuriser les données des utilisateurs\u003C/strong>.\u003C/p>\r\n",null,1057,6,"Sanction exemplaire à l'encontre de Free en raison d'un manquement aux droits des personnes et la sécurité des données de ses utilisateurs",0,"fr","sanction-exemplaire-a-lencontre-de-free-en-raison-dun-manquesment","Le 30 novembre 2022, la CNIL a prononcé une sanction de 300 000 euros à l’encontre de la société Free, notamment pour ne pas avoir respecté les droits des personnes et la sécurité des données de ses utilisateurs. Si l'amende infligée ne revêt pas un caractère exceptionnel, la portée de cette décision se veut exemplaire.","Published",{"id":17,"displayName":18,"avatarUrl":19,"bio":7,"blogUrl":7,"color":7,"userId":17,"creationDate":20},3235,"Margaux Morel","https://static.dastra.eu/tenant-3/avatar/3235/margaux-2-150.jpg","2022-10-03T12:31:46","2022-12-08T14:56:00","2022-12-08T14:56:27.8296155","2025-08-27T09:30:27.4539424",{"id":25,"name":26,"description":27,"url":28,"color":29,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":30},2,"Blog","A list of curated articles provided by the community","article","#28449a",[31,33,36],{"lang":12,"name":26,"description":32},"Une liste d'articles rédigés par la communauté",{"lang":34,"name":26,"description":35},"es","Una lista de artículos escritos por la comunidad",{"lang":37,"name":26,"description":38},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[40,45],{"id":25,"name":26,"description":27,"url":28,"color":29,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":41},[42,43,44],{"lang":12,"name":26,"description":32},{"lang":34,"name":26,"description":35},{"lang":37,"name":26,"description":38},{"id":46,"name":47,"description":48,"url":49,"color":50,"parentId":25,"count":7,"imageUrl":7,"parent":51,"order":11,"translations":56},9,"News","Stay up to date with the latest news from data protection authorities: decisions, fines, guidelines, and regulatory trends in GDPR and privacy.","news","#1676ca",{"id":25,"name":26,"description":27,"url":28,"color":29,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":52},[53,54,55],{"lang":12,"name":26,"description":32},{"lang":34,"name":26,"description":35},{"lang":37,"name":26,"description":38},[57,60,63],{"lang":12,"name":58,"description":59},"Actualités","Suivez les dernières actualités des autorités de protection des données (CNIL, EDPS, etc.) : décisions, sanctions, lignes directrices et tendances réglementaires en matière de RGPD et de privacy.",{"lang":34,"name":61,"description":62},"Actualidad","Todos los artículos relativos a las autoridades de protección de datos",{"lang":37,"name":64,"description":65},"Nachrichten","Alle Artikel mit Bezug zu Datenschutzbehörden",[],"https://static.dastra.eu/content/3cb5fb8f-bab3-4414-a6eb-a39defb54e99/cnil-1000.png",[69,70,71,72,73,74,75],"https://static.dastra.eu/content/3cb5fb8f-bab3-4414-a6eb-a39defb54e99/cnil-1000.webp","https://static.dastra.eu/content/3cb5fb8f-bab3-4414-a6eb-a39defb54e99/cnil.webp","https://static.dastra.eu/content/3cb5fb8f-bab3-4414-a6eb-a39defb54e99/cnil-1500.webp","https://static.dastra.eu/content/3cb5fb8f-bab3-4414-a6eb-a39defb54e99/cnil-800.webp","https://static.dastra.eu/content/3cb5fb8f-bab3-4414-a6eb-a39defb54e99/cnil-600.webp","https://static.dastra.eu/content/3cb5fb8f-bab3-4414-a6eb-a39defb54e99/cnil-300.webp","https://static.dastra.eu/content/3cb5fb8f-bab3-4414-a6eb-a39defb54e99/cnil-100.webp",53314]