Pourquoi Free Mobile écope d'une amende de 300 000 euros ordonnée par la CNIL ?

Free Mobile, qui faisait l'objet de plaintes, a été sanctionné par la CNIL pour ne pas avoir respecté des demandes d'accès aux données ni le droit à l'opposition.

Le gendarme des données, la Commission nationale de l'informatique et des libertés de France (CNIL), a dévoilé au grand public ce mardi la sanction prononcée à l'encontre de Free Mobile, qui s'est vu infliger une amende de 300 000 euros. L'opérateur mobile, filiale d'Iliad, était accusé de ne pas satisfaire aux droits d'accès ou d'opposition à recevoir des messages de prospection commerciale de plaignants.

Free Mobile sanctionné après des plaintes et des mesures de contrôle de la CNIL

Entre décembre 2018 et novembre 2019, la CNIL avait reçu 19 plaintes à l'encontre de Free Mobile. Ces saisies reposaient sur deux griefs essentiels. D'abord, les plaignants reprochaient à l'opérateur de ne pas pouvoir accéder aux données qu'il détenait les concernant. Ensuite, ils lui reprochaient un défaut dans l'opposition à recevoir des messages de prospection.

Comme toujours donc, la CNIL a mené son enquête et effectué des opérations de contrôle en janvier et juin 2020, le premier au siège de Free directement et le second sur pièces. L'autorité voulait s'assurer que l'opérateur mobile respecte bien les dispositions du RGPD. Et il s'avère qu'à l'issue de la procédure, la CNIL a constaté plusieurs manquements aux droits des personnes concernées, mais aussi à l'obligation de protéger les données dès la conception ainsi qu'à la sécurité des données.

Prenant en compte la taille et la santé financière de l'opérateur, la CNIL a donc décidé de sanctionner Free Mobile d'une amende à hauteur de 300 000 euros. Mais entrons dans les détails des manquements imputés à l'entreprise.

Quatre manquements au RGPD constatés et un laxisme sur la politique de mots de passe

La CNIL a déploré un manquement aux articles 12 et 15 du Règlement général sur la protection des données (RGPD), qui consacre l'obligation de respecter le droit d'accès des personnes aux données les concernant. L'autorité a constaté que Free Mobile n'avait pas donné suite aux demandes formulées par les plaignants dans les délais, très exactement dans un délai d'un mois à compter de la réception de la demande.

Autre manquement détaillé par la CNIL : celui de respecter le droit d'opposition des personnes concernées, sacré par les articles 12 et 21 du RGPD. L'autorité l'impute à Free Mobile, dans le sens où l'opérateur n'a pas pris en compte les demandes des plaignants, qui ne voulaient plus recevoir de messages de prospection commerciale. Cela déboule aussi sur un manquement à l'article 32 du texte européen, qui protège les données dès la conception. Des consommateurs ont en effet reçu des factures de Free Mobile même après avoir résilié leur abonnement.

Le dernier élément qui a poussé la CNIL à épingler Free Mobile est lié à la sécurité des données personnelles, protégée par l'article 32 du RGPD. L'autorité s'est aperçue que l'opérateur envoyait par e-mail et en clair les mots de passe des utilisateurs au moment de leur souscription. Le problème était double, puisque ces mots de passe n'étaient pas temporaires et que Free Mobile n'imposait pas aux clients de les changer.

La CNIL fait savoir que Free Mobile était opposé au principe de l'amende et n'aurait pas apprécié la « publicité » faite de la publication de la décision. Le groupe, qui a corrigé les manquements, affirme notamment avoir répondu aux demandes d'accès et avoir pris en compte les demandes d'opposition des plaignants. Free Mobile a la possibilité de porter un recours devant le Conseil d'État dans un délai de deux mois à compter de la décision.

Source : CNIL