Le 04 janvier 2022, la Commission Nationale de l’Informatique et des Libertés (CNIL) a annoncé avoir sanctionné la société FREE MOBILE d’une amende de 300 000 euros lors d’une Délibération en formation restreinte ayant eu lieu 28 décembre 2021. La CNIL reproche à la société de ne pas avoir respecté les droits de ses utilisateurs, ainsi qu’une non-conformité au RGPD en ce qui concerne la sécurité des données de ses utilisateurs. La CNIL a reçu 19 plaintes à l’encontre de FREE MOBILE entre décembre 2018 et novembre 2019. En outre, les plaignants rencontraient des difficultés concernant la prise en compte, par l’opérateur de téléphonie mobile français, de leurs demandes d’accès à leurs données personnelles et de leurs demandes d’opposition à recevoir des messages de prospection commerciale.
Par conséquent, lors de la délibération du 28 décembre 2021, la CNIL a constaté quatre manquements au RGPD dans la gestion de politique des données de FREE MOBILE.
Un manquement à l’obligation de respect des droits d’accès des utilisateurs de FREE MOBILE à leurs données personnelles.
Le premier manquement constaté par la CNIL, est le non-respect de son obligation issue des articles 12 et 15 du RGPD. Ces articles imposent le respect des droits d’accès des utilisateurs aux données les concernant.
En effet, l’article 12 du RGPD impose l’obligation de transparence pour toutes les personnes qui traitent des données personnelles. Par conséquent, le règlement impose que les informations relatives aux données personnelles doivent être accessibles, claires, compréhensibles par toutes les personnes concernées par le traitement de données de l’entreprise. En outre l’article, paragraphe 3, du RGPD dispose que « le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande “. Or, le paragraphe 4 de cet article affirme que ” si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel ».
De plus, l’article 15 dispose que tous les utilisateurs ont le droit « d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès aux données à caractère personnel la concernant » Ainsi lorsqu’un utilisateur fait exercer ce droit le responsable de traitement se doit de « fournir une copie des données à caractère personnel faisant l’objet d’un traitement » dans un délai de 30 jours.
Or l’entreprise FREE MOBILE n’a point respecté ces obligations issues des deux articles. Cependant, ces violations concernent uniquement deux cas isolés sur l’ensemble des utilisateurs. Dans le premier cas, la société se justifiait que le premier plaignant n’était plus client. En outre, l’entreprise n’avait plus de traces en ce qui concerne les données personnelles de ces anciens utilisateurs et donc ne pouvait pas répondre aux demandes du plaignant. Or, la CNIL a affirmé que l’absence de réponse était fautive. En l’espèce, FREE MOBILE avait donc violé ses obligations issues des articles 12 et 15 du RGPD. La société aurait dû envoyer une réponse même négative au plaignant. De plus, il s’est avéré que la société disposait encore de données sur cet ancien utilisateur. Pour le deuxième plaignant, la société affirmait que ce dernier avait adressé sa demande au mauvais service. Or, la CNIL n’a pas considéré cet argument valable et constate une nouvelle fois une violation des articles 12 et 15 du RGPD. Or pour le troisième plaignant il est impossible de savoir si ce dernier avait exercé ses droits car la société n’avait jamais reçu sa demande. Par conséquent, la CNIL n’a pas pu statuer sur ce cas.
Cependant, la CNIL, a admis que ces cas étaient isolés et ne constituaient pas un problème structurel, car depuis 2019, FREE MOBILE a fait une mise en conformité au RGPD avec un nouvel outil de ticketing.
Le manquement à l’obligation de respect du droit d’opposition des personnes
L’article 21 du RGPD dispose que « lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant ». L’article 21 est donc complémentaire à l’article 12 du RGPD imposant la transparence.
En outre, FREE MOBILE n’a point respecté dans un second temps l’article 21 du RGPD dans le cadre de démarche commerciale par téléphone, sms ou autres. En l’espèce, les différents plaignants avaient exprimé leurs oppositions à toutes démarches commerciales de la société dont ils faisaient l’objet. Par conséquent, ces oppositions conforment leur droit issu de l’article 21 du RGPD n’ont pas été pris en dans les délais prévus par de l’article 12 du RGPD, c’est-à-dire dans un délai de 30 jours. En conséquence, la société a violé l’article 21 et 12 du RGPD. La CNIL relève néanmoins que la société a justifié avoir pris des mesures pour se mettre en conformité avec les obligations découlant des articles 12 et 21 du RGPD.
Un manquement à l’obligation de protéger les données dès la conception
Aux termes de l’article 25 du RGPD dispose que « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée ».
En l’espèce, les plaignants ne parvenaient pas à faire cesser l’envoi de factures sur lesquelles apparaissait la mention d’une ligne mobile résiliée chez FREE MOBILE. La société affirme que cela était nécessaire à la bonne exécution du contrat de l’abonnement multilignes. De plus, elle affirme que désormais, la procédure de facturation a été améliorée, et, par conséquent, ce type de préjudice n’arrive plus. En outre, la CNIL affirme que conformément à l’article 25 les responsables de traitement doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de respecter de façon effective les principes relatifs à la protection des données. Ainsi en conservant la mention de la ligne mobile résiliée, elle avait méconnu cet article.
Un manquement à l’obligation d’assurer la sécurité des données personnelles
La dernière violation du RGPD par l’entreprise concerne l’article 32 qui prévoit que « Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…) ” et, notamment, ” des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ” et d’une ” procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ».
En l’espèce, la CNIL relève que les modalités de transmission des mots de passe aux utilisateurs par la société n’étaient pas adaptées vis-à-vis à des obligations de sécurité mises en place par l’article 32 du RGPD. La CNIL dans la délibération affirme que « la transmission, en clair, d’un mot de passe qui n’est ni temporaire, ni à usage unique et dont le renouvellement n’est pas imposé, le rend aisément et immédiatement utilisable par un tiers qui aurait un accès indu au message qui le contient ». Ainsi le risque de vol de mot de passe entrainant une usurpation d’identité, des tentatives d’hameçonnage ou le vol de données d’un utilisateur était trop important. De plus, les plaignants dénoncent une autre faille de sécurité qui était l’absence d’authentification systématique de l’utilisateur pour accéder à un compte utilisateur FREE MOBILE. En outre, les mesures de sécurité mises en place par l’entreprise étaient insuffisantes entrainant une violation de l’article 32 du RGPD. Ainsi, la CNIL recommande à la société de se conformer à ses recommandations mises en place en 2017. Ainsi, FREE MOBILE doit cesser l’envoie de mots de passe par courriel aux nouveaux utilisateurs et qu’à compter de fin mars 2022 que ce soient les utilisateurs qui créent eux- mêmes leur mot de passe de manière conforme à la CNIL.
Une sanction pécuniaire allégée montrant la nécessité du privacy by design.
En l’espèce, la CNIL conformément à l’article 83 du RGPD a prononcé une amende administrative de 300 000 euros. Pour prononcer cette amende elle a tenue compte de plusieurs critères tels que la nature, la gravité et la durée de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation. Or, en ce qui concerne les trois premières violations de FREE MOBILE au RGPD, qui concernaient des cas isolés, des mesures de rectification ont été prises avant la décision de la CNIL, limitant la gravité des différentes infractions. Ainsi, seule la dernière violation, constituait un risque majeur pour la vie privée des utilisateurs. En outre, la CNIL a fait des injonctions pour que l’entreprise soit désormais conforme au RGPD. Ainsi la CNIL montre que FREE MOBILE se devait de respecter le RGPD dès la conception des traitements notamment grâce au privacy by design mis en place à l’article 25 du RGPD. En outre, cela signifie que les responsables de traitements de FREE MOBILE se devaient de mettre en œuvre des mesures techniques et organisationnelles appropriées dès le stade de développement ainsi que durant toute la durée du traitement, et non ultérieurement comme cela a été fait en l’espèce. Par conséquent, de la sanction administrative prononcée par la CNIL montre l’importance du privacy by design dès la conception d’un produit et d’un service. Son montant semble notamment justifié, car ce principe a été mis en place dès 2019 et la majorité des infractions étaient issues de négligence. Ainsi, l’amende est donc à la fois dissuasive et proportionnée comme l’exige le RGPD.
L’autre sanction de la CNIL concerne la publicité de la sanction. La CNIL justifie la publicité de la délibération, par la pluralité des manquements relevés, leur persistance, et le nombre de personnes concernées. Ainsi cette publicité est donc une sanction complémentaire. En effet, la publicité de la sanction a des effets parfois plus dissuasifs que l’amende administrative elle-même. En effet, la publicité de la sanction permet de porter atteinte à la réputation d’une entreprise qui a une valeur importante pour cette dernière et pour la confiance de ses utilisateurs. En effet, « Il faut 20 ans pour bâtir sa réputation, 5 minutes pour la détruire ». Ainsi la CNIL, en publiant la décision à l’encontre de FREE MOBILE, s’assure que FREE MOBILE ne fera plus preuve de négligence dans le futur, mais surtout la CNIL s’assure que les autres entreprises respectent dès la conception d’un produit ou d’un service le RGPD.
Bibliographie :
Commission Nationale de l’Informatique et des Libertés,Délibération SAN-2021-021 du 28 décembre 2021
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
« Free Mobile sanctionné par la CNIL pour non-respect du RGPD » La Semaine Juridique Entreprise et Affaires n° 2, 13 Janvier 2022, 23
Leila Benaissa, Matthieu Dary, « Privacy by Design : un principe de protection séduisant mais complexe à mettre en œuvre » Dalloz IP/IT 2016 p.476
Karin ROUBAUDI « E-réputation : quels risques pour les entreprises et les particuliers ? »Revue Le Lamy Droit des Affaires, Nº 87, 1er novembre 2013