La CNIL a sanctionné à une amende modérée un opérateur de téléphonie mobile pour n’avoir pas respecté le RGPD.

PARTAGER

A la suite de quelques plaintes d’abonnés, la société FREE MOBILE a été sanctionnée par la Cnil, le 28 décembre 2021 pour avoir manqué à plusieurs obligations prévues par le règlement européen 2016/679 du 27 avril 2016 de protection des données personnelles (RGPD).

L’amende prononcée s’élève à 300 000 €, ce qui peut paraître peu élevé au vu du montant des sanctions récemment infligées par la Cnil à d’autres sociétés et qui atteignent parfois plusieurs dizaines de millions d’euros. Cette amende représenterait 0,005 % du chiffre d’affaires de la maison mère de l’opérateur.

La Cnil relève que l’opérateur a commis les quatre manquements suivants :

1/ un manquement au droit d’accès des personnes aux données les concernant et à l’obligation de répondre à une demande dans les délais prévus par le RGPD. L’opérateur Free Mobile n’a pas donné suite à certaines de ces demandes ou a répondu tardivement, jusqu’à deux ans après la demande des clients, en invoquant des « erreurs humaines ».

Or, d’après le Cnil l’opérateur aurait dû répondre à l’abonné « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande ».

2/ un manquement aux règles qui organisent un droit d’opposition à certains traitements de données personnelles et, en particulier, aux traitements de prospection commerciale. En effet, des personnes avaient fait l’objet de démarchages téléphoniques et de prospection par SMS en dépit de demandes d’opposition à de telles pratiques.

3/ la CNIL reproche aussi à l’opérateur d’avoir envoyé par courrier papier le mot de passe de connexion à l’espace client, sans imposer son renouvellement lors de la première connexion, ce que la Cnil juge contraire à l’obligation de sécurité imposée par le RGPD.

4/ deux abonnés, titulaires d’un abonnement « multilignes », reprochaient à l’opérateur de leur adresser des factures sur lesquelles apparaissait encore la mention d’une des lignes téléphoniques qu’ils avaient résiliée. La Cnil considère que les limitations des logiciels internes utilisés par l’opérateur pour la facturation ne prenaient pas en compte les considérations de protection de données imposées par le RGPD.

Le montant des sanctions :

Pour déterminer le montant des amendes administratives, les autorités nationales de contrôle, telle que la Cnil, sont tenues d’appliquer le RGPD, qui définit de nombreux critères destinés à les guider. Les amendes doivent être « effectives, proportionnées et dissuasives ».

Dans cette affaire, la Cnil justifie le montant en expliquant que l’opérateur s’est efforcé à régulariser sa situation dès l’ouverture de la procédure et qu’il y a eu très peu de plaintes au regard du nombre très important d’abonnés.

Délib. Cnil n° SAN-2021-021 du 28-12-2021

Inscrivez-vous à notre newsletter