La Commission nationale de l’informatique et des libertés (CNIL) a rendu public, ce jeudi 8 décembre, la sanction contre le fournisseur d’accès à internet Free datant du 30 novembre. L’entreprise de Xavier Niel se voit infliger une amende de 300 000 euros. L’autorité publique lui reproche de ne pas avoir respecté « les droits des personnes » et la « sécurité des données » de ses utilisateurs.

Deuxièmes sanctions en moins d’un an pour Free

Dans son communiqué, la CNIL revient sur la chronologie des faits. En 2018 et 2019, l’autorité française a reçu plusieurs plaintes, à l’encontre de Free, concernant des difficultés pour effacer des données personnelles. Une enquête avait alors été menée dont voici les résultats et les conséquences.

Dans le détail, la CNIL a retenu quatre manquements au Règlement général sur la protection des données (RGPD) à l’encontre de l’opérateur de téléphonie mobile Free. En premier, l’entreprise n’a pas respecté le droit d’accès des personnes aux données les concernant. En second, Free n’a pas donné la possibilité d’accéder au droit d’effacement. Sur son site web, la commission rappelle que chaque citoyen européen peut demander à une plateforme de supprimer du contenu le concernant.

En troisième manquement, le plus lourd pour l’opérateur français, il n’assure pas la sécurité des données personnelles. En effet, les mots de passe générés automatiquement par le site web lors de la création d’un compte ou d’une procédure de récupération sont de « faibles robustesses ». Par ailleurs, l’ensemble des mots de passe générés étaient stockés « en clair » dans la base de données des abonnés de la société. Les anciens détenteurs de Freebox ont vu leur matériel attribué à des nouveaux abonnés sans que les photos, vidéos personnelles ne soient effacées. En quatrième, Free n’a pas fourni les documents concernant une violation de données personnelles.

Face à cela, la CNIL a prononcé à l’encontre de Free une amende de 300 000 euros. L’opérateur mobile français aura trois mois pour se mettre en conformité avec le RGPD. S’il ne traite pas les problèmes dans le temps initialement prévu, la Commission ajoutera 500 euros par jour de retard. Cette amende significative prend en compte « la taille et la situation financière de la société » affirme-t-elle.

De son côté, Free regrette, dans un article du Monde, la décision de l’autorité, « La CNIL sanctionne des faits passés, intervenus durant les premiers mois de l’entrée en vigueur du règlement général sur la protection des données (2018-2019) ». L’entreprise assure que « les mesures nécessaires à la mise en conformité de la société ont été prises depuis les faits ».

Ce n’est pas la première fois que le groupe Iliad se fait sanctionner par la Commission. En janvier 2022, la filiale Free Mobile avait aussi reçu une amende d’une même somme. Les motifs reprochés étaient principalement les mêmes. Ces amendes sont plus un rappel au règlement, qu’une réelle sanction financière. Le groupe Iliad a déclaré un chiffre d’affaires de 6 milliards d’euros sur les 9 premiers mois de l’année.