Le trublion des télécoms n’a apparemment pas tout compris, principalement son obligation de sécuriser les données de ses abonnés. Il écope ainsi d’une amende de 300 000 euros.
Entre octobre 2018 et novembre 2019, la Cnil a reçu une quarantaine de plaintes à l’encontre de Free. Sur les 10 retenus, les plaignants reprochaient à l’opérateur des difficultés dans l’exercice de leurs droits d’accès et d’effacement. Certaines réclamations visaient également des problèmes quant à la sécurité des données personnelles.
Iliad a en outre notifié à deux reprises la Cnil en février 2019 quant à une violation de données. En l’occurrence, 4 100 Freebox avaient été remises en circulation sans passer par la case reconditionnement total : les données du précédent utilisateur était donc toujours sur le disque dur des box. Entre janvier et juin 2020, le gendarme des données personnelles a procédé à plusieurs contrôles, sur place et sur pièces.
Manquements au droit d’accès et d’effacement
Dans son délibéré, la formation restreinte reconnaît un manquement à l’obligation de respecter le droit d’accès, Free n’ayant pas donné suite aux demandes dans les délais ou de manière incomplète. Ce à quoi l’opérateur a rétorqué qu’il ne s’agissait que deux demandes, à mettre en perspective des 600 traitées chaque année, et que les plaintes étaient antérieures à la mise en place d’un nouvel outil de ticketing.
Autre manquement, Free n’a pas respecté dans les délais des demandes d’effacement. Des demandes « claires », selon la Cnil, puisqu’il s’agissait de demande de suppression de compte de messagerie électronique. « Cette demande impliquait nécessairement la demande de l’effacement des données personnelles liées à l’utilisation du compte. La société ne peut donc se prévaloir du fait que cette demande de suppression n’aurait pas été claire et traitée en tant que demande d’effacement au sens du RGPD » écrit le régulateur.
Mots de passe en clair
Sur la sécurité des données personnelles, le cas des Freebox imparfaitement reconditionnées vaut à Free une volée de bois vert. « Les mesures techniques et organisationnelles du processus de reconditionnement n’ont pas permis d’éviter » que les box ne soient fournis à de nouveaux utilisateurs sans être nettoyées des données de leurs précédents propriétaires. D’autant que Free n’a pas correctement documenté cette violation et les mesures de remédiation prises.
Mais ce ne sont pas là les seuls problèmes de sécurité repérés par le régulateur, qui fustige dans un premier temps les mots de passe insuffisamment robustes. Mais aussi stockés en clair dans la base de données des abonnés de la société, et accessoirement par courriel ou courrier postal, en clair, aux utilisateurs sans que ces mots de passe ne soient temporaires ou obligatoirement réinitialisés.
Si Free s’est mis d’équerre lors de la procédure sur la plupart de ses manquements, il lui en coûte tout de même 300 000 euros d’amendes. Et une astreinte de 500 euros par jour de retard pour se mettre en conformité sur la gestion des demandes d’accès, sous trois mois.