Le 28 décembre 2021, la société Free mobile s’est vue infliger une amende de 300 000 € par la formation restreinte de la CNIL. Les motifs invoqués étaient le non-respect des droits des personnes concernées par le traitement des données personnelles et le non-respect de l’obligation pour le responsable de traitements de garantir la sécurité des données personnelles qu’il traite.
L’organisme de contrôle a choisi de rendre la sanction publique afin d’appuyer l’importance pour les responsables de traitements de respecter ces obligations.
Faits :
Entre décembre 2018 et novembre 2019, dix-neuf plaintes ont été adressées à la CNIL, sur la difficulté pour les plaignants d’exercer leurs droits d’accès et de rectification de leurs données personnelles et leur droit de s’opposer à recevoir des messages de prospection commerciale.
En janvier 2021, la CNIL a réalisé deux contrôles dans les locaux de Free mobile et un contrôle sur pièce en juin 2021, via un questionnaire adressé par l’organisme de contrôle à la société en cause.
En août 2021, le rapporteur a adressé à Free Mobile un rapport faisant état de certains manquements au RGPD sur lesquels la formation restreinte a été amenée à se pencher, prenant en considération les observations formulées successivement par les parties au litige.
Ainsi notamment, s’agissant :
- des manquements invoqués à l’obligation de Free Mobile de respecter le droit d’accès des personnes aux données personnelles les concernant : il est rappelé que le responsable de traitement dispose d’un délai d’un mois pour répondre à l’exercice par une personne de son droit d’accès à ses données personnelles (deux mois supplémentaires en cas de complexité). Free Mobile n’avait pas répondu aux plaignants suite à leur sollicitation. La formation restreinte de la CNIL a ici retenu qu’il y avait manquement à la législation, relevant notamment que « l’argument selon lequel les faits reprochés à la société auraient un caractère isolé et ne constitueraient dès lors pas un manquement aux dispositions applicables » devait être considéré comme inopérant car « si les plaintes reçues par la CNIL ne révèlent en effet pas l’existence d’un manquement structurel en matière de droit d’accès, il n’en demeure pas moins que la société a méconnu ses obligations dans le traitement des demandes de Messieurs […] et […], alors que celles-ci étaient clairement formulées. » La CNIL souligne cependant que dans le cadre de la procédure, la société a pris des mesures de mise en conformité et a répondu aux plaignants.
du manquement invoqué relatif au droit de rectification : la plaignante reprochait à Free Mobile d’avoir rencontré des difficultés dans l’exercice de ce droit, cette dernière ne modifiant pas son adresse postale sur ses factures malgré de multiples demandes en ce sens. Free Mobile rétorquait que la plaignante pouvait faire le changement directement dans son espace abonné et qu’elle ne pouvait faire de son côté ce changement rapidement car le sujet du changement l’adresse doit en interne suivre un process spécifique de lutte contre la fraude. Sur ce point, la formation restreinte de la CNIL a retenu qu’il n’y avait pas de manquement au vu des explications apportées.
- des manquements invoqués relatifs aux demandes d’opposition : les plaignants avaient formulé des demandes d’opposition au traitement de leurs données à des fins de prospection commerciale, non prises en compte par Free Mobile. Cette dernière répondait entre autres que ces saisines avaient été réalisées au moment de l’entrée en vigueur du RGPD et qu’elles représentaient un nombre minime au vu de la masse de ses clients. Les arguments ainsi présentés ont été jugés insuffisants par la commission qui a retenu les manquements caractérisés.
- un manquement invoqué relatif à l’obligation de protéger les données personnelles dès la conception : le plaignant reprochait à Free Mobile de lui adresser des factures faisant état d’une ligne mobile résiliée. Free Mobile répondait que cela était nécessaire dans la mesure où la ligne en cause était la principale, à laquelle étaient rattachées d’autres lignes secondaires. La formation restreinte a retenu qu’un « identifiant permettant d’identifier le débiteur des différentes lignes mobiles (principales et secondaires) [pouvait] être utilisé à la place » pour conclure à un manquement.
- des manquements invoqués à l’obligation d’assurer la sécurité des données à caractère personnelles : la commission restreinte avait identifié que les mots de passe des espaces utilisateurs étaient fournis aux utilisateurs en clair par courrier au moment de la souscription d’une offre. Free Mobile rétorquait qu’aucune violation de données n’avait eu lieu et qu’en tant que responsable de traitement elle était libre de choisir les mesures de sécurité qu’elle estime adéquate. Elle ajoutait que les guides et les recommandations émises par la CNIL ou l’Agence nationale de la sécurité des systèmes d’information (ANSSI) n’avaient pas de caractère impératif. L’autorité de contrôle a estimé sur ce point que les mesures de sécurité choisies n’étaient pas adaptées au risque – puisqu’un tiers pouvait accéder à un nombre important de données personnelles grâce aux identifiants en clair dans le courrier – et d’autre part que les recommandations de la CNIL et de l’ANSSI représentaient des éléments pertinents pour estimer l’état de l’art en matière de sécurité.
Ce que l’on peut retenir de cette décision :
Tout d’abord, malgré les réponses apportées par la société Free mobile – a priori ou a posteriori du contrôle – aux différentes demandes fondant les plaintes, la formation restreinte considère que l’existence d’un manquement ne saurait se limiter aux éléments attestant d’une non-conformité au jour des constatations effectuées dans le cadre de contrôle, mais peut reposer sur tout élément obtenu par les services de la CNIL ou par le rapporteur, même si au moment du contrôle il a été mis fin à cette non-conformité.
Ensuite, ce n’est pas le nombre de demandes d’exercices de droits bien traitées qui compte, mais celui de demandes non traitées. En l’espèce, sept défauts de réponses à des demandes d’exercices de droits sur six cents ainsi que plusieurs manquements annexes motivent la sanction.
Enfin, l’absence de violation de sécurité ne suffit pas non plus à éviter la sanction dès lors que le RGPD prévoit l’obligation pour le responsable du traitement de prendre toutes les mesures organisationnelles et techniques nécessaires pour assurer la sécurité des données à caractère personnel conformément à l’état de l’art.
Pour plus d’informations, n’hésitez pas à contacter un avocat protection des données personnelles du cabinet SOLVOXIA qui se tiendra à votre disposition.