RGPD : Free Mobile écope de 300 000 euros d'amende

RGPD : Free Mobile écope de 300 000 euros d'amende

Sanctionné par une lourde amende, l'opérateur mobile est accusé par la CNIL de ne pas avoir suffisamment sécurisé les données personnelles de ses abonnés et de ne pas avoir respecté leur droit d'accès à ces informations.

Après une période d'observation et de tolérance, les sanctions n'en finissent plus de pleuvoir un peu partout en Europe sur les entreprises qui prennent trop de libertés avec le RGPD (Règlement général sur la protection des données), entré en application le 25 mai 2018. L'objectif initial de ce règlement européen était de permettre aux personnes physiques (et par conséquent aux consommateurs que nous sommes) de mieux maîtriser la gestion et l'utilisation qui peut être faite des données personnelles. Et dans ce domaine, bien que très au fait de ces problématiques, les grands acteurs de la tech, du e-commerce et des télécommunications ne font pas exception.

Ainsi, après les 225 millions d'euros d'amende infligés à WhatsApp en Irlande, après les 746 millions d'euros d'amende infligés à Amazon au Luxembourg, en France, la CNIL (Commission nationale de l'informatique et des libertés) vient, plus modestement mais tout aussi significativement, d'infliger le 28 décembre 2021 une amende de 300 000 euros à l'opérateur Free Mobile, filiale du groupe Iliad. L'entreprise dispose d'un délai de deux mois pour interjeter appel de cette décision devant le Conseil d'Etat. Elément notable, l'autorité administrative indépendante a fait le choix de rendre sa décision publique pour, dit-elle, "rappeler l'importance de traiter les demandes de droit des personnes et la sécurité des données des utilisateurs". Après avoir reçu plusieurs plaintes et avoir diligenté un "contrôle sur place et un contrôle sur pièces", la CNIL reproche à Free Mobile quatre manquements majeurs à l'application et au respect du RGPD.

Free Mobile : des manquements au RGPD

Le premier concerne le droit d'accès des personnes aux données personnelles partagées avec et collectées par l'opérateur (art. 12 et 15 du RGPD). Dans le second cas, il est reproché à Free Mobile d'avoir continué à envoyer des sollicitations commerciales à des personnes qui avaient exprimé le souhait de ne plus en recevoir (art. 12 et 21 du RGPD). La CNIL a également constaté que Free Mobile avait "continué à envoyer à des plaignants des factures concernant des lignes téléphoniques dont l'abonnement avait été résilié" (art. 25 du RGPD). Enfin, la CNIL a pu établir que l'opérateur Free Mobile (dont le parc d'abonnés est aujourd'hui composé de plus de 13 millions de clients), avait manqué à son obligation d'assurer la sécurité des données personnelles desdits clients, en transmettant "​​par courriel, en clair, les mots de passe des utilisateurs lors de leur souscription à une offre" (de téléphonie mobile) sans que ces mots de passe soient temporaires et (sans) que la société impose d'en changer" (art. 32 du RGPD).

Pour justifier le montant de l'amende appliquée à Free Mobile, la CNIL assure avoir pris "en compte la taille et la situation financière de la société". En 2020, les activités de téléphonie mobile du groupe Iliad ont enregistré un chiffre d'affaires de 2,123 milliards d'euros. Comme le précise la CNIL sur son site Internet, "avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s'élever jusqu'à 20 millions d'euros ou dans le cas d'une entreprise jusqu'à 4 % du chiffre d'affaires annuel mondial." Le groupe Iliad, maison mère de Free Mobile, est présent en France, en Italie et en Pologne.