Free Mobile : sept plaintes, quatre manquements, 300 000 euros d’amende CNIL

En réponse à cette sanction, Free Mobile s’engage à ne plus transmettre les mots de passe des nouveaux abonnés en clair par courriel. À compter de la fin mars 2022, ces derniers créeront eux-mêmes leur mot de passe, « qui devra être conforme aux préconisations de la CNIL en la matière ».

Saisie de 19 plaintes visant Free Mobile en 2019, la formation restreinte de la CNIL, son organe en charge des sanctions, a retenu 4 « manquements constitués ». Quand bien même les plaintes ayant donné lieu à ces manquements « apparaissent extrêmement isolées et peu nombreuses », elle vient de prononcer une amende de 300 000 euros à son encontre :

« Cette sanction prend en compte la taille et la situation financière de la société. Sa publicité se justifie par la nécessité de rappeler l’importance de traiter les demandes de droit des personnes et la sécurité des données des utilisateurs. »

La CNIL a en effet retenu quatre manquements au RGPD :

• un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par les plaignants dans les délais ;
• un manquement à l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), puisque la société n’a pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé ;
• un manquement à l’obligation de protéger les données dès la conception (art. 25 du RGPD), puisque la société a continué d’envoyer à des plaignants des factures concernant des lignes téléphoniques dont l’abonnement avait pourtant été résilié ;
• un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), puisque la société transmettait par courriel, en clair, les mots de passe des utilisateurs lors de leur souscription à une offre auprès de la société Free Mobile, sans que ces mots de passe soient temporaires et que la société impose d’en changer.

La délibération de la formation restreinte, en date du 28 décembre 2021 , étant particulièrement longue, nous vous l'avons résumée.

Sur les griefs de la société en lien avec la procédure

Pour les besoins de l’instruction des plaintes, deux opérations de contrôle sur place dans les locaux de la société Free puis de la société Free Mobile ont été effectuées en janvier 2020, suivies d'un contrôle sur pièces en juin, qui s’est traduit par l’envoi d’un questionnaire à la société Free Mobile.

À l’issue de son instruction, le rapporteur a, en août 2021, fait notifier à la société Free Mobile un rapport détaillant les manquements au RGPD qu’il estimait constitués en l’espèce. Le courrier de notification du rapport indiquait à la société qu’elle disposait d’un délai d’un mois pour communiquer ses observations écrites.

La société estimait que le rapporteur « a manqué à son devoir de diligence en lui transmettant, plus de dix-huit mois après les opérations de contrôle et pendant les congés du mois d’août », le document proposant à la formation restreinte de retenir une sanction à son encontre.

Elle faisait valoir, sur la base d’une moyenne qu’elle indique avoir établie à partir des décisions de la formation restreinte rendues entre 2018 et 2021 à l’issue d’un contrôle sur place, que « le délai moyen de transmission de la procédure à la formation restreinte est d’environ treize mois ».

Free Mobile faisait également valoir qu’elle n’avait pas été mise en mesure de prendre connaissance, avant la réception du rapport, de deux plaintes sur lesquelles le rapporteur s’est fondé pour retenir à son encontre un manquement à son obligation d’assurer la sécurité du traitement.

Enfin, la société s’étonnait de ne pas avoir été au préalable mise en demeure de corriger les manquements à l’origine des faits litigieux, « ce qui démontrerait la faible gravité des manquements allégués par le rapporteur, notamment s’agissant de ses procédures de sécurité ».

Le mois d’août n'est pas une excuse

La formation restreinte, de son côté, relève que les textes applicables ne prévoient pas de limite au délai entre la conduite des contrôles et la transmission d’un rapport proposant une sanction. De plus, la procédure est intervenue pendant la crise sanitaire, qui a engendré un allongement des délais.

S’agissant des deux saisines dont la société n’avait pas été mise en mesure d’en prendre connaissance avant la réception du rapport, la formation restreinte rappelle que « les textes applicables n’imposent pas une instruction préalable des plaintes avant la transmission d’un rapport proposant une sanction et n’empêchent pas le rapporteur de les porter à la connaissance du responsable de traitement au stade de son rapport », les plaintes étant à cette occasion versées à la procédure contradictoire.

Enfin, l’article 50 du règlement intérieur de la CNIL impose uniquement que l’objet de la plainte soit « communiqué au responsable de traitement mis en cause […] afin que celui-ci fournisse toutes les explications utiles », ce qui avait été fait par le biais du rapport de sanction.

S’agissant de la transmission du rapport au mois d’août et de la nécessité, pour la société, d’y répondre pendant les vacances estivales, la formation restreinte observe qu'elle a bénéficié d’un délai d’environ six semaines pour produire ses premières observations, étant rappelé que l’article 40 du décret n° 2019-536 du 29 mai 2019 n’impose qu’un délai minimum d’un mois.

En dernier lieu, et s’agissant du grief relatif à l’absence de mise en demeure préalable, la formation restreinte relève que l’autorité de contrôle « dispose d’un ensemble de mesures correctrices, adaptées selon les caractéristiques propres à chaque cas, qui peuvent être combinées entre elles et être précédées ou non d’une mise en demeure ». Et que les mesures correctrices peuvent être prises directement dans tous les cas.

Elle note également que le Conseil constitutionnel n’a pas émis de réserve s’agissant de la possibilité pour le président de la CNIL d’engager une procédure de sanction sans mise en demeure préalable.

Enfin, elle rappelle que le Conseil d’État a jugé qu’il « résulte clairement [des dispositions de l’article 20 de la loi du 6 janvier 1978 modifiée], que le prononcé d’une sanction par la formation restreinte de la CNIL n’est pas subordonné à l’intervention préalable d’une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL ».

En conséquence, selon elle, la procédure et les différentes actions menées dans ce cadre n’ont pas porté atteinte aux droits de la défense de la société.

Sur le manquement à l’obligation de respecter le droit d’accès

Le rapporteur explique se fonder sur trois saisines reçues par la CNIL faisant état des difficultés rencontrées dans l’exercice de leurs droits d'accès.

En défense, Free Mobile faisait valoir qu’« aucun manquement ne peut lui être reproché au titre de ces trois saisines », et qu’il s’agit de « faits isolés, sur la base desquels l’existence d’un problème systémique ne saurait être déduite ».

Elle faisait également valoir la différence entre le nombre réduit de plaintes relevées dans le rapport concernant l’exercice des droits (7) et le nombre de demandes d’exercice des droits traitées par la société par an (environ 600).

Elle considérait en outre que les manquements allégués étaient « révélateurs d’erreurs humaines » mais aucunement d’un « problème quant au fonctionnement même de la procédure » de Free Mobile.

Enfin, la société indiquait que les saisines litigieuses étaient contemporaines de la date d’entrée en vigueur du RGPD et antérieures à la mise en place d’un nouvel outil de ticketing utilisé par Free Mobile, depuis juin 2019, « qui a permis d’apporter des améliorations à la procédure de traitement des demandes d’exercice de droit ».

À quoi la formation restreinte rappelle que la plupart des obligations en cause, relative aux droits d’accès, de rectification d’opposition et à la sécurité, existaient avant l’entrée en application du RGPD et que la loi Informatique et Libertés permettait déjà de les sanctionner.

Elle considère, dès lors, que la société ne saurait utilement exciper d’un changement du cadre juridique pour justifier l’absence de conformité au jour des contrôles.

S’agissant des améliorations apportées par la société à sa procédure de gestion des droits, la formation restreinte rappelle qu’elles sont sans incidence sur l’existence du manquement au jour des contrôles, « qui a duré de nombreux mois, et auquel il n’a été mis fin qu’après l’engagement de la procédure de sanction ».

Il faut toujours répondre

La première saisine portait sur une demande d’accès aux données qui seraient associées au numéro de téléphone du plaignant. Or, si Free Mobile reconnaissait avoir reçu sa demande, elle n’avait en revanche « pas retrouvé de trace de réponse apportée au plaignant ».

En défense, la société expliqua tout d’abord qu’« elle ne pouvait satisfaire à cette demande puisqu’elle ne disposait plus des données demandées ». Le plaignant ayant résilié son contrat quatre ans avant d’adresser sa demande d’accès, elle ne disposait plus que de l’information relative à l’existence d’une relation contractuelle jusqu’au 4 mars 2015.

Le rapporteur s’étonnant de l’absence de conservation de données à caractère personnel en base d’archivage intermédiaire au titre de ses obligations légales ou comptables (« données de facturation, gestion d’un éventuel contentieux, etc. »), Free Mobile indiquait finalement avoir retrouvé treize factures et avoir adressé, par courriel du 14 octobre 2021, un complément de réponse au plaignant en lui fournissant ces éléments.

La formation restreinte rappelle d’abord qu’il ressort de l’article 12, paragraphe 4, du RGPD que lorsque le responsable de traitement ne détient plus de données sur la personne qui exerce son droit d’accès (par exemple si les données ont été supprimées), il doit néanmoins répondre au demandeur dans un délai maximal d'un mois pour le lui indiquer.

Elle relève ensuite que la société disposait d’autres données relatives au plaignant, et rappelle que les personnes concernées doivent pouvoir avoir connaissance du fait que des données les concernant sont conservées et traitées par le responsable de traitement, y compris plusieurs années après la rupture de la relation contractuelle.

Dans ces conditions, la formation restreinte considère qu’en ne donnant pas suite à la demande d’accès et en ne répondant pas au demandeur dans les délais prévus, « mais plus de deux ans après la demande d'accès », la société a méconnu ses obligations découlant des articles 12 et 15 du RGPD.

Transmettre les réclamations aux services compétents

La seconde saisine émanait d'un plaignant souhaitant obtenir une copie des données le concernant et, plus particulièrement, la copie de l’enregistrement d’un appel qui aurait été passé par une personne ayant usurpé son identité « ainsi que tout document qui aurait été envoyé à cette occasion ».

Or, et là encore, le rapporteur relève que Free Mobile n’avait pas apporté de réponse au plaignant, « sans qu’elle ait été en mesure d’en justifier la raison ». Il a également constaté que cette demande n’avait pas été qualifiée comme une demande « Informatique et Libertés » mais comme une demande de « résiliation ».

En défense, la société faisait valoir que cette demande n’avait pas été adressée au service dédié aux demandes d’exercice des droits, de sorte qu’une erreur humaine a pu être commise dans sa qualification en tant que demande de résiliation et non en tant que demande de droit d’accès.

Le reponsable de traitement explique également qu'il ne pouvait pas apporter une réponse favorable au plaignant dans la mesure où sa demande d’accès était relative aux données à caractère personnel d’un tiers.

Enfin, et s’agissant des autres données relatives au plaignant, elle indique y avoir répondu favorablement par courriel du 26 août 2021.

La formation restreinte considère pour sa part que s’il n’est pas contesté que le plaignant n’a pas adressé sa demande à l’adresse dédiée pour la transmission des demandes d’exercice des droits, « il n’en demeure pas moins qu’il appartenait à la société de la traiter dans les délais prévus par le RGPD et de veiller à cet effet à ce qu’elle soit transmise aux services compétents ».

Sur le second point, la formation restreinte entend les éléments mis en avant sur la nécessité de préserver les droits des tiers en lien avec la partie de la demande relative à l’appel téléphonique.

Elle considère en revanche que Free Mobile aurait en tout état de cause dû apporter une réponse à la demande générale de droit d’accès effectuée par le plaignant, ce qui n’a pas été le cas avant le 26 août 2021, « soit plus de deux ans après sa demande et après la notification à la société le 2 août 2021 du rapport proposant à la formation restreinte de prononcer une sanction ».

Elle considère donc là aussi qu’en ne donnant pas suite à la demande d’accès et en ne répondant pas au demandeur dans les délais prévus, la société a méconnu ses obligations découlant des articles 12 et 15 du RGPD.

Le caractère structurel n'est pas suffisant

La troisième saisine émanait d'un plaignant ayant lui aussi demandé à Free Mobile l’accès aux données le concernant. Et là encore, le rapporteur relève que la société ne lui avait pas répondu.

En défense, Free Mobile expliquait n’avoir jamais reçu la demande du plaignant, et qu’elle ne pouvait donc pas y répondre.

Dans la mesure où il n’est pas établi que le plaignant ait régulièrement exercé ses droits, la formation restreinte estime donc qu’il n’y a pas lieu de retenir de manquement au regard de l’obligation de respecter le droit d’accès s’agissant de cette plainte.

La formation restreinte considère cela dit qu’un manquement aux obligations des articles 12 et 15 du RGPD est constitué pour les deux autres plaintes, « peu important qu’il n’ait pas revêtu un caractère structurel ».

Sur le manquement relatif au droit de rectification

Le rapporteur se fonde cette fois-ci sur une saisine où la plaignante indiquait avoir demandé à la société la rectification de son adresse postale figurant sur les factures téléphoniques, rendue nécessaire à la suite d’une renumérotation de la voirie par la mairie.

Le rapporteur observe que la demande de la plaignante, formée en septembre 2019, n’a pas été prise en compte dès lors que l’adresse postale qui figure sur la facture datée du 14 octobre 2019 de la plaignante, objet de la demande de rectification, est la même que celle qui figure sur la facture datée du 14 janvier 2020.

Le rapporteur a donc considéré qu’entre le 14 octobre 2019 et le 14 janvier 2020, la demande de rectification de la plaignante n’a pas été prise en compte par Free Mobile.

En défense, la société faisait valoir qu’un traitement plus rapide était impossible « au regard des impératifs de lutte contre la fraude ». Lorsqu’une personne est à la fois cliente des sociétés Free (car détentrice d’une ligne fixe) et Free Mobile (car détentrice d’une ligne mobile), comme c’est le cas de la plaignante, il faut en effet d’abord que l’adresse postale relative à la ligne fixe soit modifiée auprès de la société FREE.

Or, cette modification ne peut avoir lieu qu’une fois que l’adresse physique d’installation de la ligne téléphonique a été modifiée au sein d’un outil nommé « SETIAR », qui est administré par la société ORANGE S.A.

Cet outil « permet d’assurer la correspondance parfaite entre un numéro de téléphone et l’adresse d’installation physique de la ligne téléphonique, afin d’éviter toute erreur au moment de réaliser une opération sur cette ligne ».

Pour autant, ces différentes démarches « ne peuvent pas être réalisées dans de brefs délais » et la société estime avoir agi « de manière diligente pour traiter cette demande ».

Elle considère en tout état de cause avoir répondu à la demande de la plaignante en lui adressant un courrier, le 17 septembre 2019, soit quatre jours après avoir reçu sa demande, lui indiquant qu’elle pouvait modifier son adresse en ligne, directement depuis son espace abonné.

La formation restreinte relève de son côté que la nécessité pour la plaignante de modifier elle-même son adresse dans son espace abonné « aurait dû lui être mieux expliquée ».

Dans ces conditions, la formation restreinte prend acte des éléments apportés par la société en défense et considère que, s’agissant de cette plainte, les éléments du débat ne permettent pas de conclure à l’existence d’un manquement commis par la société.

Sur le manquement relatif à la demande d’opposition

Le rapporteur se fonde cette fois sur quatre saisines reçues par la CNIL, dans le cadre desquelles les plaignants faisaient état de leurs difficultés dans l’exercice de leurs droits, pour proposer à la formation restreinte de considérer que la société a méconnu ses obligations résultant de l’article 21 du RGPD.

En défense, la société faisait valoir qu’aucun manquement ne peut lui être reproché au titre de ces quatre saisines, car elle avait pris en compte les demandes des plaignants dans ses bases de données.

Elle fait ensuite valoir que les manquements allégués, eu égard au faible nombre de plaintes visées dans le rapport, sont « tout au plus révélateurs d’erreurs humaines et non d’un problème quant au fonctionnement de la procédure de traitement des demandes d’exercice des droits » par la société, qui constituerait un manquement aux dispositions applicables.

Elle considèrait en outre que les saisines litigieuses étaient contemporaines de la date d’entrée en application du RGPD et antérieures à la mise en place du nouvel outil de ticketing en juin 2019 qui avait permis d’améliorer le traitement des demandes d’exercice des droits.

La première plaignante avait saisi la CNIL parce qu'elle avait fait l’objet, les 28 août 2018 et 11 avril 2019, de démarchages téléphoniques de la part de Free Mobile. Elle avait alors manifesté, par courriers datés du 27 septembre 2018 et du 29 avril 2019, son opposition au traitement de ses données à caractère personnel à des fins de prospection.

Le rapporteur considère, dès lors, que la plaignante a été rendue destinataire de prospection commerciale près de huit mois après avoir, pour la première fois, manifesté son opposition.

En défense, la société admettait qu’une « erreur humaine » a été commise, de sorte que la plaignante a fait l’objet d’une campagne de prospection en avril 2019 alors qu’elle avait préalablement exercé son droit d’opposition.

Elle considérait qu’aucun manquement ne pouvait être retenu à son encontre dans la mesure où elle avait « dûment pris en compte » son opposition formulée par courrier du 29 avril 2019, soit avant les opérations de contrôle sur place auxquelles la CNIL a procédé en janvier 2020.

La formation restreinte considère pour sa part que l’existence d’un manquement ne saurait se limiter aux éléments attestant d’une non-conformité au jour des constatations effectuées dans le cadre d’un contrôle, mais qu'il peut tout aussi bien reposer sur tout élément attestant d’une non-conformité pour des faits ayant donné lieu à une plainte auprès de la CNIL et à une saisine de la formation restreinte, « même si au moment du contrôle il a été mis fin à cette non-conformité ».

En l’espèce, le manquement « repose sur des éléments probants, et est donc avéré ». Elle relève néanmoins que, dans le cadre de la procédure de sanction, la société a justifié avoir pris en compte la demande d’opposition de la plaignante et dès lors, avoir pris des mesures de mise en conformité avec les obligations du RGPD.

Il ne suffit pas de prendre en compte, mais aussi de rendre compte

Le second plaignant expliquait avoir fait l’objet de prospection commerciale par SMS sur des offres commercialisées par la société Free Mobile jusqu’en juillet 2019, et fourni les captures d’écran des SMS correspondants.

Il indiquait en outre avoir manifesté à plusieurs reprises son opposition au traitement de ses données à caractère personnel à des fins de prospection commerciale, notamment en juin 2018 auprès du délégué à la protection des données (DPO) du groupe ILIAD.

Le rapporteur observe tout d'abord que la société n’avait « au jour de la présente communication, pas retrouvé de trace de réponse apportée au plaignant » sans être en mesure d’en justifier la raison.

Il considère, dès lors, que la société n’a pas pris en compte l’opposition du plaignant puisque ce dernier a continué à recevoir des sollicitations jusqu’en juillet 2019, « soit près d’un an après avoir manifesté son opposition ».

En défense, la société indiquait avoir pris en compte « promptement » la demande du plaignant, dès le 25 juillet 2018, après avoir reçu deux courriels de sa part les 10 juin et 8 juillet 2018. La société joint à cet effet une capture d’écran de la date d’inscription du plaignant au sein d’une base « anti prospection ».

S’agissant des captures d’écran jointes par le plaignant, elle faisait valoir qu’elles sont « dénuées de valeur probante puisque le numéro du destinataire n’apparaît pas, de sorte qu’il n’est pas établi que les SMS capturés par le plaignant aient été effectivement reçus par lui ».

En revanche, elle ne contestait pas l’absence de réponse à la demande d’opposition du plaignant. Et indiquait que le nouvel outil de ticketing mis en place à compter de juin 2019 permet désormais d’assurer une réponse systématique aux personnes concernées.

La formation restreinte considère pour sa part que quand bien même la société indique avoir pris en compte « promptement » la demande du plaignant, ce n’est pas pour autant qu’elle lui a apporté une réponse, puisque ce dernier n’en a reçu aucune et n’a donc pas eu d’information quant à la prise en compte de sa demande, ce qui est contraire aux dispositions de l’article 12 du RGPD.

Ensuite, la formation restreinte relève que s’il est exact que le numéro de téléphone n’apparaît pas sur les captures d’écran transmises par le plaignant, « il est fréquent et compréhensible que les personnes qui déposent une plainte auprès de la CNIL transmettent les captures d’écran des messages reçus sur leur téléphone, ce qui ne permet logiquement pas de faire apparaître le numéro de téléphone du destinataire du message ».

Elle observe également que les sollicitations figurant sur les captures d’écran communiquées par le plaignant font bien référence à des dates ultérieures à la prise en compte de la demande de droit d’opposition du plaignant, confirmée par le DPO, puisqu’elles mentionnent des offres valables entre le 11 décembre 2018 et le 11 juillet 2019.

Dès lors, la formation restreinte relève qu’aucun élément ne justifie de douter de la bonne foi du plaignant. Enfin, la formation restreinte rappelle que « le droit d’opposition est attaché à une personne et non à un numéro de téléphone ».

Elle considère donc que ces captures d’écran révèlent que le plaignant a continué à recevoir des sollicitations près d’un an après avoir manifesté son opposition auprès du DPO du groupe ILIAD, en juin 2018.

Dans ces conditions, la CNIL considère qu’en ne prenant pas en compte l’opposition du plaignant dans les délais prévus, la société a méconnu ses obligations découlant des articles 12 et 21 du RGPD.

Une demande à Free est opposable à Free Mobile

Le troisième plaignant avait de son côté déploré, en septembre 2017 puis en octobre 2019, avoir fait l’objet à plusieurs reprises de prospection par SMS et par courriers de la part de la société Free Mobile portant sur la commercialisation d’offres, notamment celle relative au « Forfait Free avec appels illimités ».

Il indiquait pourtant avoir manifesté par courrier à plusieurs reprises, « dès le mois de mars 2015 », son opposition au traitement de ses données à caractère personnel à des fins de prospection commerciale et avoir pourtant continué à recevoir des sollicitations commerciales jusqu’en octobre 2019.

Dans un courriel du 21 septembre 2018, les services de la Commission avaient ainsi rappelé à la société ses obligations en matière de prospection commerciale, et demandé de ne plus traiter les données du plaignant pour cette finalité commerciale.

Par courriel du 3 octobre 2018, le DPO du groupe Iliad avait répondu avoir pris en compte la demande et « supprimé les coordonnées » du plaignant.

Le rapporteur observe dès lors que, malgré les demandes formulées par le plaignant depuis 2015 et l’assertion du DPO du groupe en 2018, son opposition n’avait été prise en compte qu’à compter du 17 décembre 2019, soit plus de quatre ans après que la société a été destinataire de sa première demande.

En défense, la société indiquait n’avoir jamais reçu de demande d’opposition du plaignant, à la différence de la société Free. Elle considérait en effet qu’une demande d’opposition formée auprès de la société Free n’est pas opposable à la société Free Mobile.

Elle indiquait toutefois avoir pris en compte la volonté du plaignant lorsqu’il a « activé l’option anti démarchage sur son espace abonné », et que cette opposition était effective depuis le 17 décembre 2019.

La formation restreinte relève que le DPO du groupe Iliad est aussi en charge des demandes relatives aux abonnés Free et Free Mobile. Elle considère donc qu’il lui incombait de traiter cette demande dans son ensemble ou de la répercuter, le cas échéant, auprès des services compétents afin qu’elle soit prise en compte.

En outre, le plaignant avait formulé une demande d’opposition générale à recevoir de la prospection commerciale par voie postale et par voie électronique (SMS et courriel), qui concernait aussi bien la société Free que la société Free Mobile.

Dans son courrier du 5 mars 2015 adressé au service Informatique et Libertés de la société Free, le plaignant avait ainsi pris soin de préciser ses identifiants Free Mobile et Freebox et de formuler sa demande comme suit :

« Conformément aux dispositions de l’article 38 alinéa 2 de la loi du 6 janvier 1978 modifiée, je vous demande de supprimer mes coordonnées de vos fichiers de contacts publicitaires, qu’ils soient par voie postale, téléphonique ou informatique. »

Dans ces conditions, la formation restreinte considère qu’en ne prenant pas en compte l’opposition du plaignant au traitement de ses données à caractère personnel à des fins de prospection dans les délais prévus, la société a méconnu ses obligations découlant des articles 12 et 21 du RGPD.

Sur la protection des données dès la conception

Le rapporteur se fonde cette fois sur deux saisines de la CNIL en novembre 2019 où les plaignants faisaient état du fait qu’ils ne parvenaient pas à faire cesser l’envoi, par Free Mobile, de factures sur lesquelles apparaissait la mention d’une ligne mobile résiliée.

Pour sa défense, la société expliquait tout d’abord qu’elle adresse des factures à zéro euro à des clients après la résiliation de leur abonnement car ces derniers bénéficient d’un abonnement « multilignes ». Ce service permet de rattacher à une ligne mobile principale, une ou plusieurs lignes secondaires, et a pour conséquence de regrouper les factures des différentes lignes sur le compte associé à la ligne principale, et de procéder à un seul prélèvement.

Elle précisait néanmoins avoir initié une refonte de sa procédure de facturation de sorte que les factures des comptes multilignes associées à une ligne mobile principale résiliée comportent désormais la mention d’un identifiant permettant à l’abonné et à la société Free Mobile de savoir, à des fins de facturation, qui est l’unique débiteur des lignes, sans continuer à mentionner la ligne principale résiliée sur la facture.

La formation restreinte considère pour sa part que si l’information qu’une personne a été titulaire d’une ligne mobile résiliée peut effectivement être conservée à des fins d’exécution du contrat et à des fins comptables, ou encore pour la gestion du contentieux, il n’est en revanche pas nécessaire de continuer à traiter cette information dans le cadre de l’émission des facturations en cours, et de la faire apparaître sur ces dernières :

« La société aurait dû prévoir, dès la conception, des mesures organisationnelles et techniques pour ne plus traiter ces données dans ce cadre à la suite d’une demande de résiliation d’une ligne principale par la personne concernée. »

Elle relève néanmoins que, dans le cadre de la procédure de sanction, la société a justifié avoir effectué une refonte de sa procédure de facturation, et considère dès lors que la société s’est mise en conformité avec les obligations découlant de l’article 25 du RGPD.

Sur le manquement relatif à la sécurité des données

Le rapporteur se fonde cette fois-ci sur deux saisines émanant de plaignantes faisant état de l’absence d’authentification systématique de l’utilisateur pour accéder à un compte Free Mobile disposant ou bénéficiant du partage de connexion d’un utilisateur doté d’un téléphone équipé d’une carte SIM Free Mobile.

En défense, la société faisait valoir que les contrôles de la CNIL n’avaient pas porté sur ces plaintes et que l’accès à l’espace mobile d’un abonné depuis un autre appareil via un partage de connexion n’est pas possible.

Le rapporteur observe cela dit que la société transmet par courriel, en clair, les mots de passe des utilisateurs lors de leur souscription à une offre auprès de la société Free Mobile.

Pour sa défense, la société faisait d’abord valoir qu’elle est libre de choisir les mesures de sécurité à mettre en place, et que les guides et les recommandations émises par la CNIL ou l’Agence nationale de la sécurité des systèmes d’information (ANSSI) « n’ont pas de caractère impératif et n’ont pas valeur de loi ».

Elle relevait ensuite qu’à l’époque des opérations de contrôle, les abonnés étaient incités à modifier leur mot de passe sur leur espace abonné et sensibilisés sur l’importance de garder ces mots de passe confidentiels.

Elle indiquait en outre que le mot de passe initial attribué par la société présente un niveau de robustesse élevé. Elle précisait enfin que l’espace abonné permet uniquement d’accéder à des informations « basiques » et non à des informations sensibles.

La formation restreinte, de son côté, rappelle que, en application de l’article 32 du RGPD, pour assurer la protection des données à caractère personnel, il incombe au responsable de traitement de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Elle considère qu’en l’espèce, les modalités de transmission des mots de passe mises en œuvre par la société « ne sont pas adaptées au regard du risque que ferait peser sur la personne concernée la captation de leur identifiant et de leur mot de passe par un tiers » :

« En effet, la transmission, en clair, d’un mot de passe qui n’est ni temporaire, ni à usage unique et dont le renouvellement n’est pas imposé, le rend aisément et immédiatement utilisable par un tiers qui aurait un accès indu au message qui le contient. »

Ce tiers pourrait ainsi accéder à toutes les données à caractère personnel présentes dans le compte utilisateur Free Mobile de la personne concernée (« notamment les nom, prénom, numéro de ligne mobile, adresse postale, adresse électronique, relevé d’identité bancaire, numéro de ligne mobile ») :

« Il pourrait également accéder à sa messagerie vocale, télécharger ses factures et le relevé de ses consommations, procéder à la modification du mot de passe, de l’adresse électronique ou des options du compte. »

De plus, le fait que le mot de passe soit en lui-même robuste et que les personnes soient incitées à modifier leur mot de passe « ne suffit pas à compenser ces risques, qui peuvent notamment entraîner des usurpations d’identité et des tentatives d’hameçonnage ».

Dès lors, la prise en compte de ces risques pour la protection des données à caractère personnel et de la vie privée des personnes conduit la formation restreinte à considérer que les mesures déployées pour garantir la sécurité des données en l’espèce sont insuffisantes.

Ensuite, elle précise que si la délibération de la CNIL relatives aux mots de passe, son guide relatif à la sécurité des données à caractère personnel et la note technique de l’ANSSI relative aux mots de passe « n’ont certes pas de caractère impératif, ils exposent toutefois les précautions élémentaires de sécurité correspondant à l’état de l’art ».

Dès lors, la formation restreinte retient un manquement aux obligations découlant de l’article 32 du RGPD et non du non-respect des recommandations, « qui constituent au demeurant un éclairage pertinent pour évaluer les risques et l’état de l’art en matière de sécurité des données à caractère personnel ».

La formation souligne au surplus qu’elle a, à plusieurs reprises, adopté des sanctions pécuniaires où la caractérisation d’un manquement à l’article 32 du RGPD est le résultat de mesures insuffisantes pour garantir la sécurité des données traitées, « et non pas seulement le résultant de l’existence d’une violation de données à caractère personnel ».

Elle relève néanmoins que, dans le cadre de la procédure de sanction, la société atteste de la mise en œuvre obligatoire du renouvellement des mots de passe des utilisateurs lors de leur première connexion.

En outre, la CNIL relève que la société s’engage à ne plus transmettre les mots de passe des nouveaux abonnés en clair par courriel mais, à compter de la fin mars 2022, à ce que ces derniers créent eux-mêmes leur mot de passe, qui devra être conforme à ses préconisations en la matière.

Sur les mesures correctrices et leur publicité

La formation restreinte considère tout d’abord que Free Mobile a fait preuve d’une négligence certaine s’agissant de principes fondamentaux du RGPD « puisque quatre manquements sont constitués », et que plusieurs manquements ont donné lieu à des plaintes.

Elle relève ensuite que Free Mobile est un acteur particulièrement important du secteur des télécommunications et que, en sa qualité d’opérateur de téléphonie mobile, elle est « au cœur de l’acheminement des flux de données à caractère personnel quotidiens de nombreuses personnes, et doit dès lors faire preuve d’une particulière rigueur dans la gestion de la sécurité des données à caractère personnel concernées ».

Enfin, elle souligne que les mesures de mise en conformité mises en place à la suite de la notification du rapport de sanction n’exonèrent pas la société de sa responsabilité pour les manquements constatés.

S’agissant du montant de l’amende, la formation restreinte rappelle que les amendes administratives doivent être « à la fois dissuasives et proportionnées ».

En l’espèce, elle estime que les plaintes ayant donné lieu à des manquements « apparaissent extrêmement isolées et peu nombreuses – leur nombre, de sept, doit être rapporté au nombre d’abonnés –, de sorte que ces manquements ne peuvent aucunement être regardés comme ayant un caractère systémique ».

La formation restreinte tient cela dit également compte de l'activité de la société et de sa situation financière, sachant que le RGPD a porté le plafond des sanctions à 20 millions d'euros et 4 % du chiffre d'affaires :

« Dès lors, au vu de ces éléments, la formation restreinte considère que le prononcé d’une amende de 300 000 euros apparaît justifié ».

S’agissant de la publicité de la sanction, la société soutient qu’une telle mesure serait disproportionnée au regard des manquements retenus et du faible nombre de plaintes visées. Elle considérait également que « cette peine de publicité complémentaire porterait un dommage irréversible à sa réputation ».

La formation restreinte considère pour sa part que la publicité de la sanction se justifie au regard de la pluralité des manquements relevés, de leur persistance, et du nombre de personnes concernées.

Une sanction d'une « relative clémence », estime Alexandre Archambault, avocat spécialiste du numérique et ancien de Free.