La Commission nationale de l’informatique et des libertés a prononcé une sanction de 300 000 euros à l’encontre de Free, notamment pour ne pas avoir respecté les droits des personnes et la sécurité des données de ses utilisateurs.
Après plusieurs plaintes touchant aux difficultés rencontrées par des clients dans la prise en compte de leurs demandes d’accès et d’effacement de leurs données personnelles, Free s’est vu infliger le 30 novembre, en tant qu'opérateur de téléphonie fixe, une amende de 300.000 euros par la Cnil.
Des contrôles ont en effet permis de constater plusieurs manquements, notamment aux droits des personnes concernées (droit d’accès et droit d’effacement) ainsi qu’à la sécurité des données : il a été observé une faible robustesse des mots de passe, le stockage et la transmission en clair des mots de passe, ou encore remise en circulation d’environ 4 100 boîtiers « Freebox » mal reconditionnés.
En conséquence, l’organe de la CNIL chargé des sanctions, appelé « la formation restreinte », a prononcé à l’encontre de la société cette amende et a décidé de rendre publique sa décision. Elle a également enjoint à Free de se mettre en conformité dans la gestion des demandes de droit d’accès des personnes et d’en justifier sous un délai de trois mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard.
« Cette sanction prend en compte la nature et la gravité des manquements, les catégories de données personnelles concernées par ces manquements ainsi que la taille et la situation financière de la société », précise la CNIL, qui justifie sa décision de porter cette décision sur la place publique « par la nécessité de rappeler l’importance de traiter les demandes de droit des personnes et de sécuriser les données des utilisateurs ».
A lire : Free Mobile condamné à 300.000 euros d'amende
Début janvier, la Cnil avait déjà sanctionné Free, en tant qu'opérateur de téléphonie mobile, d'une amende de 300 000 euros pour ne pas avoir respecté notamment la sécurité des données de ses utilisateurs. Quatre manquements au règlement général de protection des données personnelles (RGPD) avait été observé, notamment « l'obligation de protéger les données dès la conception » et « la sécurité des données », citant l'exemple de la transmission des mots de passe en clair par courriel.
Il avait été aussi pointé « les difficultés rencontrées par des personnes dans la prise en compte de leurs demandes » d'accès aux données les concernant, ou encore la non parise en compte des demndes des plaignants à ne plus recevoir des messages de prospection commerciale.