La CNIL a retenu quatre manquements au RGPD relatifs à l’exercice des droits d’accès et d’opposition par les personnes concernées, l’obligation de protéger les données dès la conception ainsi que la sécurité des données.
Manquement relatifs à l’exercice des droits d’accès et d’opposition
La CNIL a constaté un premier manquement à l’obligation de respecter le droit d’accès des personnes aux données traitées les concernant, car la société n’a pas donné suite aux demandes formulées par deux plaignants dans les délais légaux.
Dans les deux cas, Free Mobile soutenait qu’en raison d’une erreur humaine les demandes n’avaient pu être adressées au service concerné et dès lors les données demandées n’avaient pu être communiquées par Free Mobile en temps utile.
L’article 12 du RGPD prévoit en effet que le responsable du traitement est tenu de répondre aux demandes d’exercice de droit dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande qui peut, au besoin, être prolongé de deux mois compte tenu de la complexité et/ou du nombre de demandes.
Concernant la première saisine, Free Mobile dit ne pas avoir répondu au demandeur car elle estimait ne pas disposer de données à son sujet. Au cours du contrôle, elle a finalement retrouvé 13 factures que l’opérateur de téléphonie a communiquées au demandeur, plus de deux ans après sa demande.
La CNIL a rappelé que même dans le cas où le responsable du traitement ne dispose d’aucune donnée, il est tenu de formuler une réponse informant la personne concernée de cette absence de données et qu’en l’espèce, la réponse complète est intervenue en dehors des délais prévus par l’article 12 du RGPD.
Concernant la seconde saisine, Free Mobile justifiait son absence de réponse par le fait que la demande avait été adressée au service résiliation et non au service compétent pour traiter les demandes d’exercice de droit. Comme dans le premier cas, Free Mobile a adressé une réponse complète seulement deux ans après reçu la demande.
La CNIL rappelle que toutes les demandes doivent être traitées, même lorsqu’elles ne sont « pas adressées par le canal [que le responsable du traitement] aura dédié à cet effet, a fortiori lorsque […] le contenu de la demande est clair » comme c’était le cas en l’espèce.
Pour la CNIL, le manquement est donc constitué au regard de la réponse tardive de l’opérateur mobile, peu importe que la demande n’ait pas été adressée par le canal dédié.
Aussi, le fait que « les plaintes ayant donné lieu à des manquements apparaissent extrêmement isolées et peu nombreuses » et que dès lors, ces manquements ne peuvent être regardés comme ayant « un caractère systémique » comme le relève la CNIL, ces circonstances ne sont pas exonératoires, bien qu’elles aient été prises en compte dans l’évaluation du montant de l’amende.
La CNIL a également condamné l’opérateur pour manquement à l’obligation de respecter le droit d’opposition des personnes concernées caractérisé par l’absence de prise en compte des demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé.
Dans l’un des cas, Free Mobile soutenait notamment qu’elle n’avait jamais reçu la demande d’opposition du plaignant, qui avait été reçue et traitée par la société FREE, et qu’en conséquence, une telle demande ne lui était pas opposable.
La formation restreinte rejette cette argumentation et considère que « le DPO en charge des demandes relatives aux abonnés FREE et aux abonnés FREE MOBILE, […] il lui incombait donc de traiter cette demande dans son ensemble ou de la répercuter, le cas échéant, auprès des services compétents afin qu’elle soit prise en compte ».
Manquement à l’obligation de protéger les données dès la conception
Lorsque des lignes mobiles étaient résiliées, Free Mobile continuait d’envoyer des factures à zéro euro aux clients titulaires d’abonnement multilignes pour faciliter l’émission des factures.
Deux abonnés se sont plaints de cette méthode et ont saisi la CNIL en considérant qu’il s’agissait d’un manquement à l’obligation de protéger les données dès la conception (ou Privacy-by-Design) conformément à l’article 25 du RGPD.
Ce principe impose aux responsables de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées dès la conception afin de respecter de façon effective les principes relatifs à la protection des données à caractère personnel, et notamment au principe de minimisation des données.
La formation restreinte a considéré que Free Mobile a manqué à cette obligation en conservant l’information qu’une personne a été titulaire d’une ligne mobile résiliée aux fins de facturation, ces données n’étant pas nécessaires pour une telle finalité.
La CNIL considère en effet que Free Mobile aurait dû prévoir des mesures organisationnelles et techniques permettant « de procéder à l’effacement des données à caractère personnel qui n’étaient plus nécessaires pour les besoins de la facturation », par exemple en ayant recours à un identifiant à la place.
La CNIL relève néanmoins que dans le cadre de la procédure de sanction, Free Mobile s’est mise en conformité avec l’article 25 du RGPD en effectuant une refonte adéquate de sa procédure de facturation.
Manquement à la sécurité des données personnelles
La formation restreinte retient enfin un manquement à l’obligation de Free Mobile de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
Free Mobile transmettait par email en clair les mots de passe des utilisateurs lors de leur souscription à une de ses offres, faisant courir un risque d’usurpation d’identité et des tentatives d’hameçonnage en cas d’accès à ces informations par un tiers.
La CNIL a considéré que les mesures prises par Free Mobile consistant à envoyer des mots de passe robustes et d’inciter les personnes concernées à modifier leur mot de passe ne suffisaient pas à compenser ces risques.
Il aurait fallu, dit-elle encore, suivre les précautions élémentaires de sécurité correspondant à l’état de l’art que la CNIL expose dans son guide relatif à la sécurité des données à caractère personnel, complété par la note technique de l’ANSSI relative aux mots de passe et qui comprendrait par exemple l’usage d’un mot de passe temporaire ou à usage unique avec un renouvellement imposé à l’utilisateur.
Dans le cadre de la procédure de sanction, Free mobile s’est mise en conformité sur ce point en mettant en œuvre un renouvellement obligatoire des mots de passe des utilisateurs dès leur première connexion et projette de mettre en place de nouvelles mesures mettant un terme à l’envoi des mots de passe en clair.
Que retenir de cette sanction ?
A première vue, alors que la CNIL retient l’argument de Free Mobile selon lequel les manquements sont la conséquence de faits isolés et ne relèvent pas de manquements structurels, une sanction composée d’une amende de 300 000 euros assortie de mesures de publicité peut sembler sévère.
Néanmoins, alors qu’une sanction doit être à la fois « dissuasive et proportionnée » et que la CNIL pouvait infliger une amende allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires consolidé de l’entreprise, une telle amende de 300 000 euros représente moins de 0,01% du chiffre d’affaires de Free Mobile qui dépasse 2,5 milliards d’euros en 2020.
Une telle sanction est donc finalement relativement clémente au regard des quatre manquements constitués.
Concernant les points à retenir de cette décision, notons que :
- Il est impératif de répondre aux demandes d’exercice de droits, peu importe le canal duquel ces demandes proviennent. Pour ce faire, l’ensemble des services doivent être formés à identifier et transmettre au plus vite les demandes au service compétent pour les traiter. Il s’agit d’une course contre la montre au regard des délais courts dans lesquels les responsables de traitement doivent apporter une réponse aux personnes concernées.
- Pour être en mesure de répondre dans les délais, il est indispensable de savoir où et comment trouver les données des personnes concernées, ce qui suppose pour le responsable du traitement de mettre de l’ordre dans ses systèmes d’information.
- Les recommandations de la CNIL ne sont pas impératives… Mais ne pas les suivre expose à un risque de sanction par la formation restreinte !
Lire la délibération de la CNIL