Free condamné par la CNIL pour des mots de passe en clair et des Freebox mal réinitialisées
La CNIL a condamné Free pour ne pas avoir respecté certaines règles du RGPD. En plus de manquements aux droits des usagers (accès, suppression des données), Free n'a pas assuré la sécurité des mots de passe et un mauvais reconditionnement de 41 000 Freebox lors de leur réutilisation. La Commission Nationale Informatique et Liberté (CNIL) a infligé une sanction de 300 000€.
Vous cherchez une offre box ou mobile ?
09 71 07 89 99Les manquements constatés
Signalé par plusieurs abonnés en 2018 et 2019, la CNIL a enquêté sur les accès aux données de Free. Plusieurs clients ont rencontré des difficultés pour le respect de leurs droits d'accès et de suppression des données personnelles. Ces contrôles, effectué en janvier 2020, ont permis de constater plusieurs manquements au RGPD. Les enquêteurs ont ainsi constaté que le mot de passe généré lors de la création d'un compte Free (fourni lors de la souscription d'une offre Freebox ou Free Mobile) n'était pas robuste et était stocké en clair dans la base de données des comptes. Les mots de passe de compte et de boite mail @free.fr étaient envoyés en clair par courrier ou courriel.
Entre temps, Free a notifié la CNIL d'une violation de données personnelles en 2019. Environ 41 000 Freebox ont été remises en circulation sans un reconditionnement complet, avec une réinitialisation et un effacement des données personnelles. Ainsi, les nouveaux abonnés Freebox se retrouvaient avec les comptes des anciens abonnés et leurs données des disques durs (fichiers stockés en NAS ou vidéo enregistrée) intacts. Lors du contrôle en 2020, les enquêteurs de la CNIL ont trouvé une documentation de la panne dans le service de reconditionnement, mais elle ne contient pas de solution de résolution.
Vous cherchez une offre box ou mobile ?
09 71 07 89 99300 000€ d'amendes
À la suite des échanges avec Free, la CNIL a lancé une enquête approfondie. Cette enquête a permis de notifier plusieurs manquements au RGPD : absence de respect du droit d'accès, absence de respect du droit d'effacement (plaintes des usagers), absence de sécurisation de données personnelles (mots de passe et Freebox non réinitialisée) et absence de documentation d'une violation de données personnelles (Freebox non réinitialisée). Les échanges avec Free ont permis d'écarter un autre grief : l'utilisation des données de la base Free pour de la prospection commerciale.
La CNIL inflige une amende de 300 000€ à Free. Free doit aussi répondre aux demandes des plaignants concernant l'accès aux données et à l'effacement de ces données. L'opérateur doit aussi fournir des preuves de sa mise en conformité d'ici à un mois, sous peine d'une astreinte de 500€ par jour de retard.
