Manquement au RGPD, la société Free sanctionnée par la Cnil de 300 000 euros. Par Debora Cohen, Avocat.

Manquement au RGPD, la société Free sanctionnée par la Cnil de 300 000 euros.

Par Debora Cohen, Avocat.

2054 lectures 1re Parution: 5  /5

Explorer : # rgpd # protection des données # sécurité des données # sanction

Le 30 novembre 2022, la Commission nationale de l’informatique et des libertés (ci-après « Cnil »), a prononcé une sanction, rendue publique, de 300 000 euros à l’encontre de la société Free, pour avoir manqué à plusieurs obligations du Règlement général sur la protection des données (ci-après « RGPD ») en matière de droits des personnes et de sécurité des données de ses utilisateurs.

-

Free, un fournisseur d’accès internet français.

Filiale du groupe Iliad, l’entreprise Free [1] a pour activité principale d’être : « un fournisseur d’accès à Internet, un opérateur de téléphonie Mobile et un fournisseur d’infrastructures Cloud, IoT et Services Managés ».

La formation restreinte de la Cnil, organe chargé de prononcer des sanctions, a estimé que la société ne respectait pas les droits des personnes et la sécurité des données de ses utilisateurs et manquait donc aux dispositions prévues par le RGPD.

Les manquements au RGPD sanctionnés par la Cnil.

Le contrôle de la Cnil a été réalisé après le dépôt de plusieurs plaintes concernant les difficultés rencontrées par des personnes dans la prise en compte, par Free, de leurs demandes d’accès et d’effacement de leurs données personnelles.

La Cnil a sanctionné la société en relevant plusieurs manquements aux obligations prévues par le règlement européen :
- Un manquement à l’obligation de respecter le droit d’accès des données personnelles de ses utilisateurs.

L’autorité relève un manquement concernant l’exercice du droit d’accès aux données personnelles, mentionné aux articles 12 [2] et 15 du RGPD [3], qui impose à la société Free, en tant que responsable du traitement, la transparence des informations et des communications et modalités de l’exercice des droits de ses utilisateurs et le droit d’accès à leurs données personnelles.

Il a été constaté que Free n’aurait pas donné suite aux demandes formulées par les plaignants dans les délais, ou leur a apporté une réponse incomplète concernant la source de leurs données.

- Un manquement à l’obligation de respecter le droit à l’effacement des données personnelles de ses utilisateurs

L’autre manquement observé concerne le droit à l’effacement des données des personnes concernées, prévu l’article 17 [4] du RGPD.

En ne traitant pas les demandes des plaignants dans des délais imposés par le règlement, la société Free aurait manqué à son obligation.

- Un manquement à l’obligation d’assurer la sécurité des données personnelles.

Pour établir ce manquement, la Cnil [5] a constaté que :
- « le mot de passe généré lors de la création d’un compte utilisateur sur le site de la société, ou lors d’une procédure récupération ou de renouvellement, manquait de « robustesse » ;
- les mots de passe générés pendant la création d’un compte utilisateurs étaient stockés en clair dans la base de données des abonnés de la société ;
- les mots de passe des utilisateurs étaient transmis par courrier postal ou courriel sans qu’ils ne soient temporaires et que la société impose de les changer ;
- le mot de passe associé au compte de messagerie électronique « free.fr » était transmis par la société par courriel ou courrier postal à l’utilisateur et indiqué en clair dans le corps du message ;
- 4 100 boîtiers « Freebox » détenus par d’anciens abonnés ont été réattribués à de nouveaux clients sans que les données de ces anciens abonnés qui y auraient été stockées aient été correctement effacées ».

Free aurait donc manqué à son obligation d’assurer la sécurité des données personnelles [6] prévu à l’article 32 [7] du RGPD, qui impose au responsable du traitement de « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté ».

- Un manquement à l’obligation de documenter une violation de données personnelles.

L’autorité relève que la société n’a pas documenté les mesures prises pour remédier au problème lié à « la remise en circulation de 4 137 boîtiers mal reconditionnés » qui constituait une violation des données personnelles.

La société aurait ainsi manqué à son obligation de documenter une violation de données personnelles, prévue à l’article 33 [8] du RGPD.

Les sanctions prononcées.

L’autorité de contrôle prononce une amende de 300 000 euros [9], rendue publique, à l’égard de Free et justifie cette sanction par :

« la nature et la gravité des manquements, les catégories de données personnelles concernées par ces manquements ainsi que la taille et la situation financière de la société. Sa publicité se justifie par la nécessité de rappeler l’importance de traiter les demandes de droit des personnes et de sécuriser les données des utilisateurs ».

En complément de l’amende administrative et malgré des mesures prises pour respecter les dispositions des articles 17, 32 et 33 du RGPD, la formation restreinte a également enjoint à la société Free de :

« se mettre en conformité concernant la gestion des demandes de droit d’accès des personnes et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard ».

La formation restreinte estime que cette injonction se justifie au regard de l’absence de fourniture, à la date de la clôture de l’instruction :

« des éléments permettant à la société d’attester d’une mise en conformité de ses traitements avec les dispositions de l’article 15 du RGPD ».

La Cnil avait déjà sanctionné la société Free mobile, le 28 décembre 2021, pour ne pas avoir respecté les droits des personnes et la sécurité des données de ses utilisateurs.

Debora Cohen, avocat au barreau de Paris, en protection des données personnelles et DPO externalisé
debora.cohen chez dcavocat.com
https://www.dcavocat.com/

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

4 votes

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion (plus d'infos dans nos mentions légales).

Notes de l'article:

A lire aussi :

Explorer : # rgpd # protection des données # sécurité des données # sanction

  1. Dans la même rubrique
  2. Les Actualités juridiques
  3. Droit du numérique et des TIC
  4. Respect de la vie privée et protection des données personnelles

Les droits des personnes concernées sur leurs données personnelles. Par Debora Cohen, Avocat.

24 avril 2025

Vote électronique : la CNIL dévoile ses exigences de sécurité pour 2025. Par Gerard Haas, Avocat.

16 avril 2025

Vers une atteinte à la vie privée généralisée ? Par Victor Cabras, Juriste.

14 avril 2025

Lutte contre le narcotrafic et protection des données personnelles : quel équilibre ? Par Sonia Bernonville, Avocate.

25 mars 2025

Responsabilité complexe en cas de fuite de données, piratage et usurpation d’identité d’origine interne : analyse approfondie et stratégies contentieuses. Par Aurélie Duron Harmand, Avocat et Mehdi Mankouri, Elève-Avocat.

11 mars 2025

Empreinte neuronale et souveraineté cognitive : vers un cadre juridique pour la protection des données mentales. Par Zakaria Garno, Professeur.

25 avril 2025

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 156 320 membres, 27843 articles, 127 254 messages sur les forums, 2 750 annonces d'emploi et stage... et 1 600 000 visites du site par mois en moyenne. *


FOCUS SUR...

• Assemblées Générales : les solutions 2025.

• Voici le Palmarès Choiseul "Futur du droit" : Les 40 qui font le futur du droit.




Tous les Articles publiés

Populaires en ce moment

Annonces d'Emploi

Forum

Formations à venir

LES HABITANTS

Membres

Professionnels du droit et autres inscrits

PROFESSIONNELS DU DROIT

Previous Next

 

Cabinet d'avocat

 

Facilite l'accès aux professions du Droit

 

Cabinet d'Avocats

 

Agir en faveur de l’accès au droit

 

 

Collectif d'avocats et de médiateurs

 

Réseau de cabinets d’avocats indépendants

 

Bien plus que du droit.

 

Réseau de professionnels du Droit

 

Association pour la prévention positive des cyberviolences

 

Procédure d’appel, procédure civile, conseil, contentieux, modes amiables

Solutions

Previous Next

 

AI-powered Contract Management

 

Traducteurs assermentés

 

Editeur juridique

 

Editeur juridique et de solutions de gestion pour les métiers du droit

 

Destruction et recyclage de documents confidentiels

 

Maintenance informatique spécialisée pour les professionnels du droit

 

Lettre recommandée électronique

 

Association de gestion et de comptabilité pour Avocats

 

Aides et Conseils à l'installation des avocats.

 

Logiciels de conformité, risques et éthique

 

Créateur de confiance juridique

 

Solutions d'informations pour professionnels du droit.

 

1er service entièrement en ligne pour externaliser vos appels

 

Logiciels pour professionnels du droit.

 

Offres pour les métiers du droit

Formateurs

Previous Next

 

Formations courtes ou longues à destination des professionnels du droit

 

Se former aux métiers du Droit

 

La Compétence juridique se recrute !

 

Des formations spécialisées

 

Se former est une chance !

 

Formation, recherche et innovation

 

L’école des nouveaux juristes !

 

Cabinet juridique et organisme de formation

Nouvelles parutions

Robert Badinter

Robert Badinter - L’œuvre d’un juste

« Un jour, je vous parlerai de la Justice...»

LexisNexis Presse

La Semaine Juridique - Édition Générale

Accédez à votre actualité juridique chaque semaine sous la plume d’auteurs de renom !

A côté du droit !

Sélection Liberalis du week-end : « Le Dernier Sacre » à la Galerie des Gobelins à Paris. 

Les coups de coeur des libraires juridiques (épisode 2).

Sélection Liberalis spécial Jour ferié : le Paradox Museum Paris.

Régulièrement nous partageons ici avec vous quelques images du net...

A voir et à Écouter... sur le Village de la justice:

- [Documentaire] Engagées, un an dans les coulisses du métier d’avocat.
- Comment bien utiliser le Village de la justice pour vos publications d’articles juridiques ?
- [Vidéo] Entretien avec Rémy Heitz, procureur général de la Cour de cassation dans l’émission Fenêtres sur cours.
- Dans les coulisses des directions juridiques de Decathlon et Bolloré Transport & Logistics.

Le Village de la justice est le 1er site de la communauté des métiers du Droit, en accès libre, créé en 1997 (en savoir plus). Avocats, juristes d'entreprises et salariés, magistrats, étudiants, notaires, huissiers, fiscalistes, RH, experts et conseils etc, y trouvent de nombreuses informations et participent à la communauté, s'informent, établissent leur réseau, recrutent... Le premier Réseau du droit ! > Découvrez notre philosophie et fonctionnement ici.

Edité par Legi Team
Editeur - Publicité
Fil RSS général du Village
Gestion des cookies - RGPD
Mentions légales - CGV - CGU
RSE
Plan du Village de la Justice
Nous écrire

Copyright © Village de la justice et auteurs publiés ici.