Accueil Juridique Droits des personnes et sécurité des données utilisateurs : la Cnil condamne...

Droits des personnes et sécurité des données utilisateurs : la Cnil condamne Free Mobile à 300 000 euros

L’organe de la Cnil chargé des sanctions vient d’annoncer avoir condamné la société Free Mobile une amende de 300 000 euros après avoir constaté « des manquements aux droits des personnes, à l’obligation de protéger les données dès la conception ainsi qu’à la sécurité des données.

La Commission Nationale de l’Informatique et des Libertés indique avoir reçu plusieurs plaintes concernant les difficultés rencontrées par des personnes dans la prise en compte, par l’opérateur de téléphonie mobile français, Free Mobile, de leurs demandes d’accès et d’opposition à recevoir des messages de prospection commerciale.
« Un contrôle sur place et un contrôle sur pièces ont permis de constater des manquements aux droits des personnes concernées (droit d’accès et droit d’opposition), à l’obligation de protéger les données dès la conception ainsi qu’à la sécurité des données (transmission des mots de passe en clair par courriel)« , indique la Cnil dans un communiqué.

La CNIL a retenu quatre manquements au RGPD :

  • un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par les plaignants dans les délais ;
  • un manquement à l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), puisque la société n’a pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé ;
  • un manquement à l’obligation de protéger les données dès la conception (art. 25 du RGPD), puisque la société a continué d’envoyer à des plaignants des factures concernant des lignes téléphoniques dont l’abonnement avait pourtant été résilié ;
  • un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), puisque la société transmettait par courriel, en clair, les mots de passe des utilisateurs lors de leur souscription à une offre auprès de la société, sans que ces mots de passe soient temporaires et que la société impose d’en changer.
La sanction de 300 000 euros prend en compte la taille et la situation financière de la société, précise la Cnil. Lire sur Légifrance sa délibération parue ce 4 janvier.