Une goutte d’eau dans l’océan pour Free, un trophée de plus au tableau de chasse de la Cnil. La commission a reçu plusieurs plaintes concernant les difficultés rencontrées par certains personnes dans la prise en compte par l’opérateur télécoms, de leurs demandes d’accès et d’effacement de leurs données personnelles. La CNIL a procédé à plusieurs contrôles qui ont permis de constater des manquements, notamment aux droits des personnes concernées ainsi qu’à la sécurité des données (faible robustesse des mots de passe, stockage et transmission en clair de ces derniers, remise en circulation d’environ 4 100 boîtiers « Freebox » mal reconditionnés).

Le verdict est tombé le 30 novembre dernier. La Cnil a prononcé à l’encontre de Free une amende de 300 000 euros et a rendu sa décision publique ce 8 décembre. La société doit se mettre en conformité au plus tôt en ce qui concerne la gestion des demandes de d’accès des personnes à leurs données personnelles et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard. S’agissant de l’ensemble des autres manquements relevés, la Cnil a considéré que la société avait pris les mesures nécessaires pour se mettre en conformité au cours de la procédure.

Des plaintes qui remontent à 2018

Dans le détail, l’opérateur a enfreint les articles 12, 15 et 21 du RGPD (Règlement général sur la protection des données) relatifs au respect du droit d’accès des personnes aux données les concernant. La société n’a en effet pas donné suite aux demandes formulées par les plaignants dans les délais ou leur a apporté une réponse incomplète. Un manquement à l’obligation de respecter le droit d’effacement des données des personnes concernées a également été relevé. Les vérifications effectuées par la Cnil ont également mis en évidence le non-respect de l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD). Enfin, concernant la circulation de boîtiers Free reconditionnés, l’entreprise a enfreint l’article 33 du règlement portant sur l’obligation de documenter une violation de données personnelles.

Notons que les plaintes sur lesquelles se base le travail de la Cnil remontent à octobre 2018 et s’étendent jusqu’à novembre 2019. La Commission a, à l’époque, été saisie de 41 plaintes à l’encontre de Free. Parmi celles-ci, 10 ont été examinées dans le cadre de la présente procédure de sanction. Les plaignants faisaient notamment état de difficultés rencontrées dans l’exercice de leurs droits d’accès ou d’effacement. Certaines de ces saisines étaient également relatives à la sécurité des données à caractère personnel des clients de l'opérateur. Reste que cette sanction pécuniaire aura au demeurant peu d’impact sur ce dernier. Fin décembre 2021, sa branche mobile a déjà écopé d'une amende de 300 000 euros par la Commission pour plusieurs manquements au RGPD concernant le droit d’accès et d’opposition des personnes à leurs données personnelles. Les contrôles avaient été effectués sur la base de plaintes datant de la même période, soit entre fin 2018 et fin 2019.

Des amendes qui peuvent monter jusqu'à 20 M€

Rappelons également qu’avec le RGPD, le montant des sanctions pécuniaires ne peut excéder 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial de la société. Pour les manquements les plus graves, l'amende peut s'élever jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial dans le cas d’une entreprise. Ces sanctions peuvent être rendues publiques. Dans le cas de Free, la Cnil précise : « cette sanction prend en compte la nature et la gravité des manquements, les catégories de données personnelles concernées par ces manquements ainsi que la taille et la situation financière de la société. Sa publicité se justifie par la nécessité de rappeler l’importance de traiter les demandes de droit des personnes et de sécuriser les données des utilisateurs ».