La CNIL[1] a sanctionné la société FREE MOBILE, le 28 décembre 2021, pour n’avoir pas traité les demandes d’exercice de droits de ses clients conformément au RGPD[2].

Dix-neuf clients de Free Mobile ont déposé une plainte auprès de la CNIL entre le mois de décembre 2018 et le mois de novembre 2019, car la demande qu’ils avaient envoyée à l’opérateur n’a pas été suivie d’une réponse ou a été suivie d’une réponse qu’ils ont jugée non satisfaisante. Les internautes demandaient, soit :

  • à obtenir une copie de leurs données personnelles[3] ;
  • à obtenir la modification de leurs données personnelles[4] ;
  • à s’opposer à l’utilisation de leurs données à des fins de prospection[5].

L’opérateur Free Mobile n’a pas donné suite à certaines de ces demandes ou a répondu tardivement, jusqu’à deux ans après la demande des clients, en invoquant des « erreurs humaines ».

La CNIL a rappelé à l’opérateur que le RGPD demande aux responsables de traitement de données personnelles comme Free Mobile de répondre aux demandes des utilisateurs « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande »[6].

La Commission a également indiqué à l’opérateur que :

  • une réponse aurait dû être apportée aux personnes, même pour leur affirmer ne pas posséder de données sur eux[7] ;
  • les données archivées, comme les anciennes factures, doivent également être communiquées aux clients qui en font la demande[8] ;
  • les demandes des clients qui n’étaient pas envoyées au Délégué à la Protection des Données devaient également être traitées.

Par ailleurs, la CNIL reproche aussi à l’opérateur d’avoir envoyé par courrier papier le mot de passe de connexion à l’espace client, sans imposer son renouvellement lors de la première connexion, ce que la Commission juge contraire à l’obligation de sécurité imposée[9] par le RGPD.

Enfin, la CNIL reproche à la société de ne pas pouvoir retirer les numéros des lignes résiliées des factures destinées aux clients, lorsqu’un client possédait plusieurs lignes téléphoniques auprès de l’opérateur, considérant que les limitations des logiciels internes utilisés par l’opérateur pour la facturation ne prenaient pas en compte les considérations[10] de protection de données imposées par le RGPD.

Une amende de 300 000 € a été prononcée contre la société Free Mobile, ce qui représente 0,005 % du chiffre d’affaires[11] du groupe Iliad, maison mère de l’opérateur.

Lire :

Ma réaction à cette décision

Je crois que cette décision est un parfait exemple de l’inefficacité de la CNIL vis-à-vis du traitement des plaintes des internautes.

Voici ce qu’il s’est passé dans le détail : dix-sept internautes ont déposé une plainte auprès de la CNIL au cours de l’année 2019 suite à l’absence de réponse ou à une réponse inadaptée de Free Mobile. La CNIL a accumulé ces plaintes, et en janvier 2020 a réalisé des contrôles dans les locaux de Free. Puis :

  • six mois plus tard, en juin 2020, la CNIL a demandé des éléments complémentaires à Free ;
  • encore six mois plus tard, en décembre 2020, la CNIL a nommé un rapporteur pour instruire les éléments ;
  • huit mois plus tard, en août 2021, la CNIL communique les manquements à Free ;
  • quatre mois plus tard, en décembre 2021, la CNIL émet sa délibération.

La société Free estime que la CNIL « a manqué à son devoir de diligence en lui transmettant, plus de dix-huit mois après les opérations de contrôle et pendant les congés du mois d’août (sic) », la décision de sanction à son encontre. Je ne peux qu’être d’accord avec Free. Il n’est pas acceptable que les plaintes des clients qui ne demandent, à priori, pas un effort démesuré ou qui concernent manifestement un petit nombre de personnes soient encore en cours de traitement deux ans plus tard.

La CNIL a reçu 13 500 plaintes en 2020. Parmi ces 13 500 plaintes, la Commission indique que 4 500 ont obtenu une « réponse rapide » et que 9 000 nécessitent une « étude approfondie »[12]. Je ne sais pas quelle est la stratégie de la CNIL pour étudier ces milliers de plaintes, mais si la majorité demande un traitement aussi chronopage, il va falloir trouver une solution alternative rapidement.

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés.
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. Le RGPD donne le droit aux personnes d’obtenir une « copie des données à caractère personnel faisant l’objet d’un traitement » (source : RGPD, article 15-3). Les clients de Free Mobile pouvaient donc légitimement demander à l’opérateur d’obtenir une copie de leurs données personnelles traitées. Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
  4. Le RGPD donne le droit aux personnes « d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes » (source : RGPD, article 16). Les clients de Free Mobile pouvaient donc légitimement demander à l’opérateur d’obtenir la modification de leurs données personnelles. Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
  5. Lorsque les données sont utilisées à des fins de prospection, le RGPD donne le droit aux personnes de « s’opposer à tout moment au traitement des données à caractère personnel la concernant » (source : RGPD, article 21-2). Toutes les personnes, qu’elles soient clientes de Free Mobile ou non, pouvaient donc légitimement demander à l’opérateur de ne plus recevoir de prospection commerciale. Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
  6. Le RGPD demande que « le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande » (source : RGPD, article 12-3). L’opérateur Free Mobile aurait donc dû répondre aux demandes de ses clients, au plus tard, un mois après la date de réception des demandes. Voir « Combien de temps a une entreprise pour répondre aux demandes d’exercice de droits RGPD ? ».
  7. Le RGPD donne le droit aux personnes « d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées » (source : RGPD, article 15-1). L’opérateur Free Mobile aurait donc dû répondre aux demandes de ses clients, même pour indiquer ne pas posséder de données personnelles sur eux. Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
  8. Le RGPD demande aux responsables de traitement de données de « fourni[r] une copie des données à caractère personnel faisant l’objet d’un traitement » aux personnes qui en font la demande. Le texte n’exclut pas les données archivées. L’opérateur Free Mobile aurait donc dû communiquer toutes les données qu’il possèdait, même les données archivées.
  9. Le RGPD demande que « des mesures techniques et organisationnelles appropriées [soient mises en œuvre] afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-1). L’envoi d’un mot de passe par courrier papier ne permet pas de garantir la confidentialité du mot de passe. Les données personnelles contenues dans l’espace personnel des clients de Free Mobile pouvaient donc être consultées par une personne qui aurait préalablement intercepté le mot de passe. Le renouvellement forcé du mot de passe lors de la première connexion aurait permis de limiter ce risque.
  10. Lorsqu’un outil est utilisé pour traiter des données personnelles, le RGPD demande aux responsables de traitement de prendre « des mesures techniques et organisationnelles appropriées […] destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données » (source : RGPD, article 25-1). L’opérateur Free Mobile devait donc paramétrer ses outils internes de facturation de sorte que les données personnelles inutiles, comme les numéros de téléphone des lignes résiliées, ne soient pas communiquées aux clients.
  11. La société Iliad, maison de mère de l’opérateur Free Mobile, a déclaré un chiffre d’affaires de 5,871 milliards d’euros en 2020 ( source : Iliad, Résultats annuels 2020).
  12. La CNIL a reçu 12 585 plaintes en 2020, 4 528 plaintes ont obtenue une réponse rapide, et 9 057 nécéssitent une étude plus approfondie ( source : CNIL, Rapport Annuel 2020, page 7).