La société est accusée de plusieurs manquements au règlement général sur la protection des données, dont le fait de ne pas avoir assuré la sécurité des informations de ses clients.
La Commission nationale de l’informatique et des libertés (CNIL) n’a pas pour habitude de rendre ses décisions publiques. Si elle en a décidé autrement pour la sanction adressée à Free Mobile, c’est pour une simple raison : elle considère qu’il est nécessaire de « rappeler l’importance de traiter les demandes de droit des personnes et la sécurité des données des utilisateurs ». C’est ainsi que la décision de condamner l’opérateur de téléphonie mobile à une amende de 300 000 euros a été dévoilée au grand public ce 4 janvier. Le montant de la sanction a été fixé en rapport avec la taille et la situation financière de la société. En 2020, Free Mobile a réalisé un chiffre d’affaires de 5,87 milliards d’euros, dont 2,1 pour ses services mobiles.
La CNIL reproche à l’opérateur quatre manquements au règlement général sur la protection des données (RGPD). Ce constat a été dressé à la suite de contrôles effectués en 2020. La commission avait décidé d’enquêter après avoir reçu une vingtaine de plaintes de consommateurs rencontrant des difficultés, notamment pour accéder aux données les concernant.
Une question de sécurité des données personnelles
Plus précisément, la CNIL accuse Free Mobile de ne pas avoir respecté les demandes de ses usagers souhaitant accéder à leurs informations, alors que le RGPD l’oblige à fournir un accès à ces données. L’autorité juge également que l’opérateur n’a pas pris en compte les demandes des plaignants ne voulant plus recevoir de message de prospection commerciale. Free Mobile a, d’autre part, été sanctionné pour avoir continuer à envoyer des factures à des clients pour des lignes téléphoniques alors que l’abonnement de celles-ci avait été résilié.
Enfin, il est reproché à l’opérateur un manque de sécurisation des données à la société française. Lors de ces contrôles, la CNIL a remarqué que l’entreprise envoyait par courriel et en clair les mots de passe des utilisateurs au moment de leur souscription à une offre. Un problème d’autant plus grave que ces derniers n’étaient pas temporaires et que Free Mobile n’obligeait pas les clients à les changer. Conformément à l’article 32 du RGPD, l’opérateur aurait dû mettre en œuvre « des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », comme le chiffrement des données personnelles.