CNIL : Free de nouveau sanctionné d’une amende de 300 000 euros pour manquements au RGPD

Publié par le dans , | Consulté 149 Fois

Le 8 décembre 2022, la Commission nationale de l’informatique et des libertés (CNIL) rendait publique sa délibération du 30 novembre 2022 venant sanctionner la société Free, compétitrice dans le secteur de la téléphonie et de la fourniture d’accès à Internet, d’une amende de 300 000 euros s’agissant de différents manquements au RGPD.

De fait, entre octobre 2018 et novembre 2019, la CNIL a d’abord été saisie de multiples plaintes d’utilisateurs faisant état de difficultés rencontrées dans l’exercice de leurs droits d’accès et d’effacement de leurs données personnelles auprès de l’opérateur de téléphonie fixe français.

En janvier 2020, l’autorité publique effectuait alors deux missions de contrôle au sein des locaux des sociétés Free et Free Mobile. Finalement, ces contrôles conduiront à la constatation de plusieurs manquements au RGPD, et notamment « aux droits des personnes concernées » compte tenu de leurs droit d’accès et droit d’effacement, mais aussi à la « sécurité des données ».

Ainsi, au-delà d’une amende d’un montant de 300 000 euros, la société Free se voit aussi enjointe de justifier, sous un délai de 3 mois et sous astreinte de 500 euros par jour de retard, sa mise en conformité concernant la gestion des demandes de droit d’accès des personnes auprès de la CNIL.

4 différents manquements au RGPD sanctionnés en l’espèce :

  • Un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant aux vues des articles 12 et 15 du RGPD

Sur ce point, l’autorité a notamment rappelé qu’il résultait de l’article 12 du RGPD que, dès lors qu’une demande d’exercice de droit lui est adressée, le responsable de traitement est tenu de répondre à la demande de la personne concernée (notamment en lui fournissant des informations sur les mesures prises) dans les meilleurs délais et, en tout état de cause, dans un délai d’un mois à compter de la réception de la demande.

Cependant, il a été constaté que Free n’avait pas donné suite aux demandes formulées par les utilisateurs dans les délais prévus par le règlement, ni fourni de réponse complète concernant la source de leurs données.

  • Un manquement à l’obligation de respecter le droit d’effacement des personnes concernées aux vues des articles 12 et 21 du RGPD

Ici, différents utilisateurs n’avaient obtenu de réponse de l’opérateur qu’après un délai excessif de 3 ans concernant leurs demandes de suppression de compte de messagerie électronique.

De même qu’au cours de ce délai, aucune mesure n’avait été prise par l’opérateur afin de satisfaire ces dites demandes d’effacement : la base client contenait encore de multiples données à caractère personnel relatives aux plaignants et le statut de leur compte de messagerie électronique « free.fr » demeurait toujours comme étant « actif ».

Free se prévalait alors du fait que les demandes de suppression n’étaient pas claires et dès lors, non traitées en qualité de demandes d’effacement au sens du RGPD.

Affirmant néanmoins que les demandes des utilisateurs étaient explicites, la CNIL a dès lors constaté un manquement à l’article 12.3 du RGPD qui prévoit que le responsable de traitement est tenu de fournir aux demandeurs des informations sur les mesures prises à la suite d’une demande de suppression de compte dans un délai maximum d’un mois.

Il est toutefois rappelé qu’une demande d’effacement d’un compte de messagerie électronique n’implique pas nécessairement une suppression totale des données relatives à celui-ci, certaines pouvant être conservées avec un statut d’archive intermédiaire.

Or, un manquement à l’article 17 du RGPD était effectivement caractérisé s’agissant du statut « actif » des comptes mais aussi du fait que les personnes concernées pouvaient toujours accéder à leurs messageries, des années après leurs demandes auprès de Free.

  • Un manquement à l’obligation d’assurer la sécurité des données à caractère personnel aux vues de l’article 32 du RGPD

Il s’agit ici du manquement le plus lourd sanctionné par la CNIL à l’encontre de Free.

Pour rappel, l’article 32 du RGPD traite de la sécurité du traitement, et prévoit explicitement que compte tenu de différents éléments, tels que l’état des connaissances ou encore des coûts de mise en œuvre, « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Cependant, la CNIL a d’abord constaté que les mots de passe générés aléatoirement à l’occasion de la création d’un compte utilisateur sur le site web de Free, d’une procédure de récupération ou d’un renouvellement de mot de passe, manquaient fortement de robustesse car seulement composés de huit caractères et ne pouvant que comporter des caractères du même type.

Ensuite, il a également été relevé que tous les mots de passe générés lors de la création d’un compte sur le site web de Free étaient stockés en clair au cœur de la base de données relative aux abonnés de la société, et ce jusqu’au 23 janvier 2020.

De plus, ces mêmes mots de passe étaient transmis à l’utilisateur par le biais d’un courrier électronique ou postal et également indiqués en clair dans le corps du message alors qu’il ne s’agissait pas de mots de passe temporaires ou devant impérativement être modifiés ultérieurement. Cela était également le cas compte tenu des mots de passe associés aux comptes de messagerie « free.fr ».

S’agissant des risques accrus quant à la protection des données et de la vie privée des utilisateurs Free découlant de ce manquement, la CNIL a alors estimé que les mesures déployées pour garantir la sécurité des données en l’espèce étaient insuffisantes.

Enfin, et avec tout autant d’ampleur, au vu d’une erreur ayant conduit à la suppression de la procédure dite de « séquence de test » visant à effacer les données stockées sur les disques durs des boitiers « Freebox », Free n’avait pas permis d’éviter la réattribution de 4137 boitiers d’anciens abonnés à de nouveaux clients sans que les données contenues n’aient pu être complètement effacées.

Les données concernées désignaient notamment des vidéos, photos personnelles ou encore des enregistrements de programmes TV.

La CNIL a ainsi considéré que les mesures techniques et organisationnelles mises en œuvre par Free au regard de la violation de données étaient en l’espèce insuffisantes. En ce sens, l’autorité souligne que ce n’est pas la violation des données qui est sur ce point en cause mais l’insuffisance des mesures de sécurité ayant permis une telle violation. 

  • Un manquement à l’obligation de documenter une violation des données personnelles aux vues de l’article 33 du RGPD

Sur ce dernier point, il faut avant tout noter que l’article 33 paragraphe 5 du RGPD prévoit que le responsable de traitement est tenu de documenter toute violation de données à caractère personnel en indiquant les faits de cette violation, ses effets ainsi que les mesures prises afin d’y remédier.

C’est alors sur la base de cette documentation que l’autorité de contrôle est amenée à vérifier le respect de cette disposition.

Néanmoins, il a été mis en évidence que Free avait manqué à cette obligation puisqu’aux vues de la remise en circulation des 4137 boitiers Freebox en l’absence d’un reconditionnement dit parfait, la documentation établie par la société ne permettait pas de prendre connaissance de l’ensemble des mesures prises pour remédier à la violation de données à caractère personnel et ses effets.

Une sanction mal accueillie par la société Free

Aux vues de ces différents éléments, la CNIL a dès lors prononcé une amende de 300 000 euros ainsi qu’une injonction de mise en conformité sous un délai de 3 mois (sous astreinte de 500 euros par jour de retard), à l’encontre de la société Free.

Il faut aussi noter que l’autorité a souhaité rendre sa délibération publique, un choix plus que significatif quant à la réputation des sociétés et ayant un retentissement certain sur les consommateurs, d’autant plus lorsqu’il s’agit de l’un des principaux fournisseurs d’accès internet nationaux.

En ce sens, la CNIL justifie notamment ce choix quant à la « pluralité des manquements » mais aussi de « la nécessité de porter à la connaissance […] des clients concernés, les défaillances liées aux traitements de données à caractère personnel mis en œuvre par la société ».

Cette sanction semble néanmoins être mal comprise et accueillie par la société et son gérant, Xavier Niel, fondateur et actionnaire principal d’Iliad, société mère de Free et Free mobile qui affirmait alors :

« La CNIL sanctionne des faits passés, intervenus durant les premiers mois de l’entrée en vigueur du règlement général sur la protection des données (2018-2019) […] L’entreprise assure que « les mesures nécessaires à la mise en conformité de la société ont été prises depuis les faits ».

Aujourd’hui, la société annonce alors être à l’étude « des suites à donner à cette décision, regrettant que la CNIL ait sanctionné une période pendant laquelle elle déclarait préférer l’accompagnement à la sanction ».

Quelle efficacité des sanctions pour violation du RGPD ?

L’information des utilisateurs de Free revêtant la qualité de consommateurs est en l’espèce privilégiée par la CNIL aux vues de la publicité de la délibération. Or, la question de l’effectivité des amendes pour violation du RGPD demeure aujourd’hui au cœur d’un débat récurrent.

D’ailleurs, le groupe Iliad et plus particulièrement la société Free Mobile avait déjà, le 04 janvier 2022, été sanctionnée d’une amende du même montant par la CNIL au regard de manquements au RGPD, étant pour la plupart similaires (droit d’accès et droit d’opposition des personnes concernées, protection des données dès la conception, sécurité des données personnelles).

Pourtant, il est important de rappeler que conformément à l’article 83 du RGPD, le montant des amendes administratives peut s’élever jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.

Ainsi, le choix d’une amende au montant peu élevé pour une société telle que Free connaissant un chiffre d’affaires annuel colossal peut sembler contradictoire.

S’agissant du cas de Free, la CNIL justifie alors que le montant de l’amende infligée à la société « prend en compte la nature et la gravité des manquements, les catégories des données personnelles concernées par ces manquements ainsi que la taille et la situation financière de la société ».

Malgré l’énoncé de ces critères et, surtout, face à l’impact peu significatif de ces sanctions s’agissant des manquements répétés de Free, il semble alors que ces amendes revêtent davantage la qualité de rappels au règlement que celle de véritables sanctions pécuniaires.

Une nette disparité quant à la sévérité des sanctions pour violation du RGPD au niveau européen

En ce sens, une analyse globale démontre que les autorités européennes de protection des données n’adoptent pas toutes une stratégie similaire quant aux réactions et sanctions s’agissant des violations du RGPD.

S’agissant de la France par exemple, un peu moins de 40 amendes sur une période de 3 ans sont généralement infligées par la CNIL. Le constat est d’autant plus parlant concernant l’année 2020, puisque sur un total de 49 mises en demeure, seules 14 sanctions ont été prononcées.

Or, on observe que nos voisins européens adoptent des comportements distincts puisque ceux-ci privilégient davantage une réaction beaucoup plus sévère.

De fait, l’autorité de contrôle espagnole recense par exemple plus de 330 sanctions depuis l’entrée en vigueur du RGPD. Il en est de même pour l’autorité italienne avec plus de 100 sanctions.

Aussi, bien au-delà de sanctionner les sociétés les plus influentes, ces autorités infligent même aux entreprises de petite taille des amendes au plus faible montant. En ce sens, un supermarché avait par exemple été sanctionné d’une amende de 1000 euros par l’autorité espagnole de protection des données pour manquement aux obligations d’information.

Enfin, la Belgique ou la Pologne privilégient quant à elles une stratégie identique à celle de la France.