Free fait figure de récidiviste aux yeux de la CNIL. Après avoir été sanctionné de 300 000 euros en janvier dernier pour son activité de téléphonie mobile (Free Mobile), l’opérateur télécom se voit infliger une amende d’un montant similaire pour, cette fois, son entité opérant sur le marché de la téléphonie fixe (Free).
publicité
Free n’oublie pas
Le premier avertissement ne semble pas avoir été suffisant puisque la nature des manquements au Règlement européen sur la protection des données personnelles (RGPD) relevée par l’autorité de contrôle est assez similaire à ceux constatés en début d’année. La CNIL a tout d’abord reçu plusieurs plaintes de clients éprouvant des difficultés à faire reconnaître leurs droits d’accès et d’effacement de leurs données personnelles.
Contrairement aux articles 12 et 15 du RGPD, Free n’a pas donné suite aux utilisateurs demandant à avoir accès à leurs informations privées ou leur a apporté une réponse incomplète.
L’obligation de respecter le droit d’effacement concerne, cette fois, l’article 17 du RGPD. Encore appelé « droit à l’oubli », il permet de garantir aux personnes qui en font la demande – pour peu que celle-ci soit légitime – que leurs données seront définitivement supprimées de l’ensemble des systèmes du responsable de traitement. Et ce, dans un délai maximal de 30 jours.
Des mots de passe insuffisamment sécurisés
Les autres manquements constatés sont plus sensibles encore, puisqu’ils portent sur la sécurisation même des données personnelles. Lors de ses contrôles, la CNIL a observé que « le mot de passe généré lors de la création d’un compte utilisateur sur le site web de la société, lors d’une procédure de récupération ou lors d’un renouvellement du mot de passe, était insuffisamment robuste ».
Lors de la création d’un compte sur le site de l’opérateur, les mots de passe étaient transmis « en clair » aux abonnés, par e-mail ou courrier postal, sans que ces mots de passe soient temporaires et que Free impose d’en changer. Le mot de passe associé au compte de messagerie électronique en free.fr était communiqué selon les mêmes modalités.
Les conditions d’hébergement des mots de passe dans le système d’information n’étaient pas davantage à la hauteur. « L’ensemble des mots de passé générés lors de la création d’un compte utilisateur sur le site web de la société était stocké en clair dans la base de données des abonnés de la société », appuie la CNIL.
0,004 % du chiffre d’affaires d’Iliad
La vigilance côté matériel n’était pas meilleure. Environ 4 100 boîtiers Freebox reconditionnés ont été réattribués à de nouveaux clients sans que les données des précédents abonnés aient été correctement effacées. Les boîtiers contenaient ainsi des photos et des vidéos personnelles, ou encore l’enregistrement de programmes de télévision.
Free a maintenant un délai de trois mois pour faire respecter le droit d’accès. A défaut, la société sera soumise à une astreinte de 500 euros par jour de retard. S’agissant des autres manquements, la commission a jugé que l’opérateur avait pris les mesures correctives nécessaires pour se mettre en conformité au cours de la procédure.
On notera que le montant de la sanction prononcée correspond à seulement 0,004 % du chiffre d’affaires consolidé du groupe Iliad, la société mère de Free. En 2021, celui-ci s’est élevé à 7,587 milliards d’euros, en hausse de plus de 29 % sur un an. Pour mémoire, la CNIL a la possibilité de prononcer, pour les manquements les plus graves, une amende administrative pouvant s’élever jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires annuel mondial.
Opérateurs et données sensibles
Compte tenu de son activité, un opérateur télécom est appelé à manier un grand nombre de données sensibles et le groupe Iliad, fondé par Xavier Niel, n’est pas le seul à s’être fait épingler par la CNIL. Il y a quatre ans, en décembre 2018, le gendarme de la protection des données avait infligé une amende de 250 000 euros à l’opérateur Bouygues Télécom pour « manquement à la sécurité des données clients ».
Une vulnérabilité permettait d’accéder à des contrats et des factures de clients B & You, l’offre low cost de l’opérateur, « par la simple modification d’une adresse URL sur le site web de Bouygues Telecom ». Les données de plus de deux millions d’abonnés ont ainsi été accessibles en ligne « pendant plus de deux ans ». A cette époque – le signalement était antérieur à l’entrée en vigueur du RGPD – il s’agissait d’une amende d’un montant record pour une entreprise française.
