La société Free, fournisseur d’accès internet français, a été sanctionnée par la Commission nationale de l’informatique et des libertés (Cnil) le 30 novembre 2022, avec une amende de 300 000 euros, pour avoir manqué à ses obligations en matière de protection de données et de droits des personnes selon le Règlement général sur la protection des données (RGPD). Cette sanction a été rendue publique par la Cnil.
Free amende de 300 000 euros
Free, filiale du groupe Iliad, est principalement connue en tant que fournisseur d’accès internet, mais elle exerce également des activités de téléphonie mobile et de fourniture d’infrastructures Cloud, IoT et Services Managés. La Cnil a estimé que l’entreprise ne respectait pas les droits des personnes et la sécurité des données de ses utilisateurs, et a donc manqué aux dispositions du RGPD.
Le contrôle de la Cnil a été effectué suite à de nombreuses plaintes déposées par des utilisateurs de Free, qui avaient des difficultés pour faire respecter leurs droits d’accès et d’effacement de leurs données personnelles. La Cnil a constaté que Free n’avait pas répondu de manière adéquate aux demandes des plaignants, ou leur avait fourni une réponse incomplète concernant l’origine de leurs données. En outre, la Cnil a déterminé que Free avait manqué à ses obligations en matière de sécurité des données, notamment en utilisant des mots de passe insuffisamment robustes et en ne mettant pas en place des mesures de sécurité suffisantes pour protéger les données personnelles de ses utilisateurs.
Le manquement de Free à ses obligations en matière de droit d’accès aux données personnelles a été établi en se référant aux articles 12 et 15 du RGPD, qui imposent une transparence des informations et des communications et une facilité d’exercice des droits des utilisateurs par les responsables du traitement des données, ainsi que le droit d’accès aux données personnelles. En ce qui concerne le droit à l’effacement des données personnelles, le manquement de Free a été constaté en se référant à l’article 17 du RGPD, qui prévoit que les personnes concernées ont le droit d’obtenir l’effacement de leurs données lorsque celles-ci ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées.