La Commission nationale de l’informatique et des libertés (Cnil) a sanctionné l’opérateur de téléphonie mobile français Free Mobile d’une amende de 300.000 euros pour ses manquements au Règlement général sur la protection des données (RGPD).
Le contexte de la sanction de Free Mobile par la CNIL
Entre décembre 2018 et novembre 2019, la CNIL a été saisie d’une vingtaine de plaintes à l’encontre de Free Mobile. Ces plaintes concernaient notamment les difficultés rencontrées par les plaignants dans l’exercice de leur droit d’accès aux informations de traitement, et de leur droit d’opposition à la réception de messages de prospection commerciale.
Ces plaintes ont donné lieu à deux opérations de contrôle, afin de vérifier le respect du RGPD par la société. A l’issue des rapports du rapporteur, M. François Pellegrini, et des observations produites par la société, la CNIL délibère en formation restreinte du 28 décembre 2021. Elle prononce une amende à l’encontre de Free Mobile à hauteur de 300,000 euros.
Les manquements aux RGPD retenus par la CNIL
La CNIL sanctionne Free Mobile sur le fondement de quatre grands principes édictés et protégés par le RGPD, nommément le droit d’accès des personnes aux données les concernant, le droit à l’opposition, l’obligation de protection des données dès leur conception, et l’obligation d’assurer la sécurité des données personnelles.
Le droit d’accès
La CNIL condamne Free Mobile sur le fondement des articles 12 et 15 du RGPD. L’article 12 prévoit un délai d’un mois, prolongeable à deux mois en cas de complexité particulière, pour la prise en compte par le responsable de traitement des demandes effectuées par les personnes concernées quant à leurs données au titre des articles 15 à 22 du RGPD. L’article 15, lui, prévoit le droit à l’accès par la personne concernée aux informations concernant le traitement, ou l’absence de traitement, de ses données à caractère personnel. En effet, la société n’avait pas donné suite à plusieurs demandes de plaignants quant aux données les concernant. Même en l’absence d’un caractère structurel ou systématique, ce manquement par Free Mobile a ainsi violé les dispositions du RGPD.
Le droit à l’opposition
Free Mobile reçoit également condamnation sur le fondement des articles 12 et 21 du RGPD. Ce dernier prévoit que lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée peut s’opposer à tout moment à leur traitement. Ainsi, même si Free Mobile avait finalement traité la demande, il ne respectait pas les délais prescrits par le RGPD.
Le manquement à l’obligation de protection des données dès leur conception
La CNIL condamne également Free Mobile pour son manquement au respect de l’obligation de protection des données à caractère personnel dès leur conception, prévu à l’article 25 du RGPD. Ce dernier prévoit la mise en place par le responsable de traitement de mesures techniques et organisationnelles afin d’assurer la protection effective des données. Ici Free Mobile n’avait pas établi les mesures nécessaires, ne prévoyant pas l’effacement des données personnelles concernant un abonnement résilié.
Le manquement à l’obligation d’assurer la sécurité des données personnelles
Finalement, la CNIL retient le manquement de Free Mobile quant à son obligation d’assurer la sécurité des données personnelles, prévue à l’article 32 du RGPD. Celui-ci précise l’obligation de mettre en place « des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement« . Le niveau de sécurité garanti doit être adapté au risque en cause. Free Mobile transmettait cependant par courriel, en clair, les mots de passes utilisateurs lors de leur souscription à un abonnement. Cette pratique ne satisfait pas le niveau de sécurité requis par le RGPD, entraînant la sanction de la société.
En conséquence, la CNIL a prononcé à l’encontre de Free Mobile une sanction à hauteur de 300,000 euros. Celle-ci s’accompagne d’obligations de mise en conformité RGPD: ainsi, les utilisateurs devront pouvoir créer eux-mêmes leurs mots de passe.
