Blog Données personnelles
La CNIL prononce une sanction de 300 000 euros contre Free Mobile pour divers manquements au RGPD
Voilà une sanction qui souligne, s’il le fallait encore, l’importance des plaintes réceptionnées par la CNIL dans le déclenchement de ses pouvoirs de contrôle. Une mauvaise gestion des demandes d’exercice de droits des clients et des prospects est en soi un manquement au RGPD, mais c’est également le meilleur moyen d’attirer d’attention du régulateur et de risquer une sanction importante.
L’opérateur Free Mobile aurait été visé par pas moins de 19 plaintes déposées à la CNIL par des particuliers. Ces derniers auraient rencontré des difficultés dans l’exercice de leurs droits d’accès mais également d’opposition à la prospection commerciale. Free Mobile n’aurait en fait simplement pas tenu compte de leur opposition et n’aurait pas donné suite à certaines demandes d’accès, ou alors une fois le délai légal expiré.
Le nombre de réclamations a donc incité la CNIL à réagir et à mener un contrôle sur place ainsi qu’un contrôle sur pièces. Les investigations approfondies menées ont alors permis de constater plusieurs manquements. Free Mobile aurait en effet failli à traiter comme il le devait les demandes d’accès de ses clients (articles 12 et 15 RGPD), mais également les oppositions à la prospection commerciale (articles 12 et 21 RGPD). La CNIL relève aussi un manquement au principe de « protection des données par défaut » (article 25 du RGPD). Des factures contenant des données personnelles continuaient d’être expédiées pour des lignes auparavant résiliées. Plus encore, Free Mobile avait mis en place un niveau sécurité des données insuffisant, puisqu’il faisait apparaitre en clair les mots de passe de ses clients dans les courriers qui leur étaient adressés, sans les forcer à les changer par la suite (article 32 du RGPD).
La formation restreinte de la CNIL, prononce pour ces quatre manquements une amende administrative de 300 000 euros qui fait l’objet de mesures de publicité. La Commission justifie d’ailleurs la publicité de la sanction par la « pluralité des manquements relevés », leur « persistance » ainsi que par le nombre de personnes concernées. A noter, aucune mise en demeure n’a été adressée à l’opérateur avant que la formation restreinte de la Commission ne soit effectivement saisie de l’affaire. La CNIL est donc bien définitivement sortie de l’ère de la pédagogie pour embrasser toute l’étendue de son pouvoir de sanction.