7 janvier 2022

Le 28 décembre 2021, la CNIL a prononcé une sanction de 300 000 € à l’encontre de la société Free Mobile. En cause, plusieurs manquements au RGPD, dont le non respect du droit d’accès, du droit d’opposition, du principe de protection dès la conception et de l’obligation de sécurité.

Osmose vous propose une brève analyse de la décision.


Les contrôles de la CNIL et la sanction qu’elle a prononcée à l’encontre de la société Free Mobile trouvent leur origine dans 19 plaintes déposées par les personnes concernées par les traitements de données réalisés par Free Mobile.

A ce stade, il est important de rappeler que près de la moitié des contrôles de la CNIL – 40% en 2020 – font suite à des plaintes des personnes concernées. Ainsi, il est primordial de rendre effectif le droit des personnes concernées afin d’éviter d’être l’objet de plaintes.

En l’occurrence, la CNIL a considéré que la société Free Mobile n’avait pas respecté le droit d’accès des personnes concernées à leurs données.

En principe, le responsable de traitement dispose d’un délai d’un mois (prolongeable de deux mois) pour faire droit à la demande d’accès ou indiquer les motifs expliquant qu’il n’y soit pas fait droit.

Or, la société Free Mobile n’a pas donné de suite à plusieurs demandes.

Elle a d’abord expliqué à la CNIL ne plus détenir de données sur les plaignants.

Cependant, la CNIL rappelle que Free Mobile aurait malgré tout dû répondre aux plaignants en indiquant ne plus détenir de données les concernant.

Au demeurant, la CNIL relève que la société Free Mobile détenait bel et bien toujours des données sur les plaignants.

Par ailleurs, Free Mobile n’avait pas respecté le droit d’opposition des personnes concernées.

En effet, elle continuait de traiter à ders fins de prospection les données de personnes ayant exercé à plusieurs reprises leur droit d’opposition.

La prise en compte des droits des personnes est donc fondamentale car elle permet de limiter le risque de plainte et partant le risque de contrôle de la CNIL.

Toutefois, le responsable de traitement ne doit pas oublier de respecter toutes les autres obligations qui s’imposent à lui.

En particulier, le responsable de traitement a l’obligation de protéger les données dès la conception.

Ce principe est moins connu du public et n’avait jusqu’alors pas fait l’objet d’une sanction de la part de la CNIL.

Il implique de la part du responsable de traitement qu’il intègre la protection des données dès le début d’un nouveau projet pour s’assurer que ce nouveau projet soit développé conformément au RGPD.

Ainsi et par exemple, avant de mettre en œuvre un nouveau traitement, le responsable devra s’assurer qu’une durée de conservation des données sera déterminée et que des mesures permettront de supprimer les données à l’issue de cette durée (il devra donc privilégier un logiciel permettant de définir cette durée et prévoyant un mécanisme de suppression automatique par rapport à des logiciels n’offrant pas ces fonctionnalités).

En l’espèce, des personnes s’étaient plaintes de voir apparaître sur leurs factures des lignes mobiles résiliées.
La société Free Mobile permettait à ses clients de rattacher plusieurs lignes mobile (une ligne principale et une ou plusieurs lignes secondaires) à un seul compte ce qui permettait de procéder à un seul prélèvement correspondant à la somme des forfaits associés.

Le compte était associé à la ligne principale. Or, en cas de résiliation de la ligne principale, le numéro de téléphone correspondant à cette ligne continuait de figurer sur les factures puisque cette ligne permettait le rattachement au compte facturé.

La CNIL considère que la société Free Mobile n’aurait pas dû conserver sur les factures le numéro de la ligne principale résiliée mais aurait dû modifier cette donnée par un identifiant permettant de rattacher les lignes à un compte.

A en suivre la CNIL, cette problématique aurait dû être soulevée par la société Free Mobile au moment de la mise en place de son service de regroupement de lignes mobile à des fins de facturation.

Enfin, la société Free Mobile a été condamnée pour manquement à ses obligations en matière de sécurité des données.

Elle envoyait à ses clients des mots de passe en clair leur permettant d’accéder à leur compte utilisateur en ligne. Ce mot de passe n’était ni temporaire, ni à usage unique, et son renouvellement n’était pas imposé. Il pouvait donc être facilement utilisé par un tiers qui aurait pu accéder aux données des clients contenues dans leur compte utilisateur.

Il existait donc des risques pour les personnes concernées, notamment d’usurpation d’identité et de tentative d’hameçonnage, ce dont il résultait une atteinte à la sécurité des données.

Au-delà de l’amende de la sanction financière (amende de 300.000 euros), c’est l’image de la société Free Mobile qui est affectée compte tenu du caractère public de la décision.

Références :

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044810599?isSuggest=true

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article21

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article25

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article32

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article15