25/04
Free écope de 300 000€ d’amende pour avoir mal géré et protégé les données d’abonnés Freebox
La Commission Nationale de l’Informatique et des Libertés (CNIL) annonce avoir sanctionné l’opérateur pour plusieurs raisons.
Freebox mal reconditionnées, stockage de mots de passe en clair… Plusieurs plaintes ont été déposées à l’encontre de l’opérateur auprès de la CNIL qui a prononcé le 30 novembre 2022 une sanction à son encontre de 300 000€.
“Des contrôles ont permis de constater plusieurs manquements, notamment aux droits des personnes concernées (droit d’accès et droit d’effacement) ainsi qu’à la sécurité des données (faible robustesse des mots de passe, stockage et transmission en clair des mots de passe, remise en circulation d’environ 4 100 boîtiers « Freebox » mal reconditionnés)” explique la Commission. Au total, ce sont quatre manquements qui ont été relevés par la Commission.
Free n’a par exemple pas donné suite aux demandes formulées par les plaignants pour accéder aux données les concernant ou n’a apporté qu’une réponse incomplète concernant la source de leurs données. L’opérateur a également manqué à l’obligation de respecter le droit d’effacement en ne traitant pas certaines demandes dans les délais imposés. Vient ensuite un manquement à l’obligation d’assurer la sécurité des données personnelles, regroupant plusieurs problèmes.
Le mot de passe généré lors de la création d’un compte utilisateur sur le site web de la société, lors d’une procédure de récupération ou lors d’un renouvellement du mot de passe était insuffisamment robuste et l’ensemble des mots de passe générés lors de la création d’un compte utilisateur sur le site web de Free était stocké en clair dans la base de données des abonnés de l’entreprise. De plus, ces mots de passe étaient transmis par courriel ou courrier postal en clair aux utilisateurs lors de la création de leur compte sur le site web, sans qu’ils soient temporaires et sans changement obligatoire. On peut noter cependant que depuis le début de l’année, Free propose désormais un lien pour réinitialiser le mot de passe de ses abonnés fixe et mobile, sur demande.
A cela s’ajoute un problème touchant 4100 Freebox mal reconditionnées qui ont été “réattribués à de nouveaux clients sans que les données de ces anciens abonnés qui y auraient été stockées aient été correctement effacées. Ces données pouvaient être des photos, des vidéos personnelles ou l’enregistrement des programmes de télévision.” De plus, la documentation établie ne permettait pas de prendre connaissance de l’ensemble des mesures prises pour remédier à l’incident relatif au reconditionnement des Freebox, une erreur constituant un manquement à l’obligation de documenter une violation de données personnelles selon la CNIL.
“La formation restreinte de la CNIL a prononcé une injonction de mise en conformité en lien avec le respect du droit d’accès. S’agissant de l’ensemble des autres manquements relevés, la formation restreinte a considéré que la société avait pris des mesures au cours de la procédure pour se mettre en conformité” explique la CNIL.