Un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par les plaignants dans les délais ou qu’elle leur a apporté une réponse incomplète s’agissant de la source de leurs données.
Un manquement à l’obligation de respecter le droit d’effacement des personnes concernées (art. 12 et 21 du RGPD), puisque la société n’a pas traité les demandes des plaignants dans les délais.
Un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), puisque :
le mot de passe généré lors de la création d’un compte utilisateur sur le site web de la société, lors d’une procédure de récupération ou lors d’un renouvellement du mot de passe était insuffisamment robuste ;
l’ensemble des mots de passe générés lors de la création d’un compte utilisateur sur le site web de la société était stocké en clair dans la base de données des abonnés de la société ;
les mots de passe des utilisateurs étaient transmis par la société par courriel ou courrier postal, en clair, aux utilisateurs lors de la création de leur compte sur le site web, sans que ces mots de passe ne soient temporaires et que la société impose d’en changer. De même, le mot de passe qui était associé au compte de messagerie électronique « free.fr » était transmis par la société par courriel ou courrier postal à l’utilisateur et indiqué en clair dans le corps du message ;
les mesures techniques et organisationnelles du processus de reconditionnement n’ont pas permis d’éviter qu’environ 4 100 boîtiers « Freebox » détenus par d’anciens abonnés soient réattribués à de nouveaux clients sans que les données de ces anciens abonnés qui y auraient été stockées aient été correctement effacées. Ces données pouvaient être des photos, des vidéos personnelles ou l’enregistrement des programmes de télévision.