Share this page!

Ma veille juridique Profile picture
Twitter logo
Dec 8 19 tweets 4 min read
🔴🇫🇷FLASH- La @CNIL sanctionne #FREE d'une amende de 300 000€ pour violation des règles sur la protection des données à caractère personnel (Décision - CNIL) ⤵️
La CNIL justifie cette sanction au regard notamment de la négligence de la société Free envers des principes fondamentaux du RGPD car plusieurs manquements ont été constitués 👇
1°) La formation restreinte de la CNIL considère que #Free a manqué à ses obligations (art 12 & 15 RGPD) relatives au traitement des demandes d'accès qui lui ont été adressées.

En effet, Free limitait le droit d'accès au premier acteur de la chaine ayant collecté les données.
Ici, la CNIL estime que la personne concernée doit connaître l'identité de la source des données collectées pour pouvoir donner son consentement et faire valoir ses droits (comme le droit d'opposition).
Dans sa décision, la CNIL enjoint la société Free à apporter une réponse aux demandes de droit d'accès sous peine d'une astreinte de 500€ par jour de retard à l'issue d'un délai d'un mois suivant la notification de la délibération.
2°) Concernant le droit à l'effacement, la CNIL considère que Free a manqué à ses obligations découlant des articles 12 et 17 du RGPD 👇
Premièrement, la formation rejette l'argument de la société selon lequel une "demande de suppression générale d'un compte" email est assimilée à "une demande de résiliation de contrat".

Pour la CNIL une telle demande implique nécessairement l'effacement des données personnelles.
Deuxièmement, la CNIL rappelle qu'une demande d'effacement des données doit être traitée dans un délai d'un mois (qui peut être prolongé dans certains cas).

Ici, la CNIL reproche à Free d'avoir fourni une réponse environ 3ans après que les requérants aient exercé leurs droits.
Enfin, troisièmement, la CNIL reproche à Free d'avoir maintenu les comptes "actifs" et la messagerie encore accessible aux personnes concernées plusieurs années après que ces derniers aient effectué leurs demandes de suppression.
Il convient de noter que Free invoquait l'art L34-1 du CPCE pour justifier la conservation des données pendant une durée d'un an.

Dans sa décision (pt.47), la CNIL énonce que les données auraient pu "être conservées avec un statut d’archive intermédiaire".
3°) Concernant l'obligation de sécurité liée aux mots de passe d'accès aux comptes clients (art 32 RGPD), la CNIL reproche à Free leur robustesse insuffisante ainsi que leur stockage et leur transmission en clair aux abonnés 👇
Premièrement, la CNIL reproche à Free l'imposition d'un mot de passe composé uniquement de 8 caractères, sans mesure de sécurité complémentaire.

Une telle situation n'est pas de nature à assurer la sécurité des données à caractère personnel.
Il convient de relever que sur la question des mots de passe, la CNIL avait également reproché à Discord l'insuffisance de sa robustesse et s'était référée à sa recommandation pour son appréciation.

Deuxièmement, la CNIL reproche à Free d'avoir stocké en clair les mots de passe des clients.

Elle constate ici "que toute personne ayant accès à la base de données des clients de la société FREE (...) pouvait directement collecter les identifiants et mots de passe en clair".
Enfin, troisièmement, la CNIL reproche à Free d'avoir transmis les mots de passe en clair par e-mail ou par courrier postal, sans durée limitée ou modification exigée à la première utilisation.

Ces derniers pouvant être facilement interceptés et utilisés par un tiers.
4°) Concernant le reconditionnement des boîtiers "Freebox", la CNIL reproche à Free une violation de son obligation de sécurité (art 32 RGPD) pour avoir mis en circulation des boîtiers sans que leur reconditionnement soit parfait 👇
Premièrement, la CNIL rejette l'argument de "l'erreur humaine" invoqué par Free et relève que la violation de son obligation de sécurité découle de l'insuffisance de mesures de sécurité qui ont rendu cette violation possible.
Deuxièmement, la CNIL rejette l'argument de Free quant au caractère "limité" de la violation.

Ici, la formation restreinte considère que l'unique signalement est "révélateur de l'insuffisance de mesures techniques et organisationnelles mises en œuvre".
Troisièmement, la CNIL relève un manquement à l'article 33 du RGPD car la société Free n'a pas documenté la violation de données liée à la remise des boîtiers mal reconditionnés.

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Ma veille juridique

Ma veille juridique Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @MVJuridique

Ma veille juridique Profile picture
Dec 9
🔴🇫🇷FLASH- N'est pas contraire au droit de propriété le fait de forcer l'associé à vendre ses parts d'une société par actions simplifiées (SAS) via une clause statutaire à laquelle il n'aurait pas consenti ⤵️

Conseil Constit., 9 déc. 2022, n°2022-1029 QPC
Pour rappel, l'article L227-16 du Code de commerce prévoit la possibilité de contraindre un associé à vendre ses parts dans l'entreprise. Une telle décision doit cependant être prévue par les statuts de la société.
L'article L227-19 du Code de commerce précise néanmoins que cette clause d'exclusion ne peut être adoptée (ou modifiée) que par une décision prise collectivement par les associés dans les conditions et formes prévues par les statuts.
Read 12 tweets
Ma veille juridique Profile picture
Dec 8
🔴🇫🇷FLASH- Le #CalendrierScolaire pour les années 2023-2024, 2024-2025 et 2025-2026 est établi. Il inclut les dates de rentrée des élèves et des enseignants ainsi que les dates de vacances (Journal officiel - Arrêté) ⤵️
Pour les années scolaires 2023-2024, 2024-2025 et 2025-2026, la prérentrée des enseignants est fixée au :

- Vendredi 1er septembre 2023.
- Vendredi 30 aout 2024.
- Vendredi 29 aout 2025.
Pour les années scolaires 2023-2024, 2024-2025 et 2025-2026, la rentrée scolaire des élèves est fixée au :

- Lundi 4 septembre 2023.
- Lundi 2 septembre 2024.
- Lundi 1er septembre 2025.
Read 8 tweets
Ma veille juridique Profile picture
Oct 18
🔴🇫🇷FLASH- #BoiteNoireNumérique : La Première ministre @Elisabeth_Borne ordonne la conservation pour une durée d'un an les données de trafic et de localisation en raison « de la menace grave et actuelle contre la sécurité nationale » (Journal officiel - Décret) ⤵️
Sont concernées par la conservation des données :
- Les opérateurs de communications électroniques (ex. Orange, SFR, Bouygues, free).
- Les personnes mentionnées l'article 6, I, 1° et 2° de la loi du 21 juin 2004 (voir ci-dessous) 👇
Les données concernées par l'injonction de conservation pour une durée d'un an sont :

1°) Concernant les opérateurs de communications électroniques (ex. Orange, SFR, Bouygues, free) 👇
Read 8 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

Send Email!

:(