Par une délibération en date du 28 décembre 2021, la CNIL a prononcé une amende administrative à l’encontre de la société Free mobile pour non-respect des droits des utilisateurs et de l’obligation de sécurité des données.
Entre les mois de décembre 2018 et de novembre 2019, plusieurs plaintes (19 – dont seulement 7 donneront lieu à la caractérisation de manquements) ont été adressées à la CNIL visant les conditions dans lesquelles la société Free Mobile traitait les demandes d’exercice des droits de ses utilisateurs, notamment en matière de prospection commerciale.
Après un contrôle sur pièces et un autre sur place, ce sont quatre manquements que la CNIL a retenu à l’encontre de la société Free Mobile.
Concernant d’abord les droits d’accès, la CNIL a estimé que la société Free mobile avait violé notamment les articles 12 et 15 du RGPD en ne donnant pas suite aux demandes des plaignants.
Le droit d’opposition des personnes concernées au traitement de leurs données personnelles (articles 12 et 21 du RGPD) n’a pas non plus été respecté, selon la CNIL, en ce que des demandes de désabonnement n’ont pas été traitées.
Un autre manquement a été relevé par la CNIL concernant l’obligation de traitement sécurisé des données (article 32 du RGPD). L’autorité de contrôle a reproché à la société Free Mobile de transmettre à ses utilisateurs des mots de passes qui n’étaient « ni à usage unique et dont le renouvellement [n’était] pas imposé, le rend[ant] aisément et immédiatement utilisable par un tiers qui aurait un accès indu au message qui le contient. ». Pour la formation restreinte, ces modalités de transmission « ne sont pas adaptées au regard du risque que ferait peser sur la personne concernée la captation de leur identifiant et de leur mot de passe par un tiers » qui « pourrait ainsi accéder à toutes les données à caractère personnel présentes dans le compte utilisateur » parmi lesquelles les nom, prénom, numéro de ligne mobile, adresse postale, adresse électronique, relevé d’identité bancaire, numéro de ligne mobile…
Outre une injonction de mise en conformité, la formation restreinte de la CNIL a prononcé une amende administrative de 300.000 euros à l’encontre de la société Free Mobile.
