Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. Free Mobile, 28 décembre 2021

Résumé des faits

Des plaintes ont été déposées à la CNIL par des personnes rencontrant des difficultés dans l’exercice de leurs droits auprès de FREE MOBILE.
Après avoir effectué un contrôle, la CNIL a sanctionné la société FREE MOBILE d’une amende de 300 000 euros pour plusieurs manquements, dont des manquements aux droits des personnes concernées.

Motifs de la sanction / Manquements

  • Non-respect des articles 12 et 15 du RGPD : absence de traitement dans les délais des demandes d’accès aux données.
  • Non-respect des articles 12 et 21 du RGPD : absence d’une gestion effective des demandes d’opposition.
  • Non-respect de l’article 25 du RGPD : absence de protection des données dès la conception, des factures ayant été envoyées à des personnes dont l’abonnement a été résilié.
  • Non-respect de l’article 32 du RGPD : absence de mesures suffisantes de sécurisation des données.

Que retenir de la décision ?

  • L’entreprise est responsable des traitements des données de ses clients mis en œuvre dans le cadre de l’exécution des contrats d’abonnement de téléphonie mobile dans la mesure où elle détermine les finalités et les moyens de ces traitements.
  • Dans le cadre de l’exercice d’un droit d’accès, l’absence de données sur la personne concernée ne permet pas d’exonérer le responsable de traitement de son obligation de traiter la demande. En cas d’absence de données, le responsable de traitement est tenu d’informer la personne concernée qu’il ne dispose plus d’informations la concernant.
  • La réception d’une demande de droit à une adresse courriel ou postale différente de celle qui a été identifiée par la société pour ce type de demandes ne permet pas de l’exonérer de son obligation de gestion des droits des personnes dans les délais prévus.
  • La présence de données appartenant à des tiers dans une communication téléphonique ne permet pas d’exonérer le responsable de traitement de son obligation de traiter une demande d’accès aux données détenues par la société.

Les + de Data Legal Drive

  • Lors d’un contrôle, la CNIL se base non seulement sur des éléments attestant d’une non-conformité au jour des constatations effectuées mais également sur tout élément déjà obtenu par les services de la CNIL dans le cadre d’une plainte et ce, même si au moment du contrôle, le manquement n’existe plus.
  • Des captures d’écran permettant d’attester de la date de prise en compte de la demande d’opposition de la personne en l’inscrivant au sein d’une base « anti prospection » ne saurait constituer une preuve quant à l’envoi effectif d’une réponse sur les mesures prises à la personne concernée dans les délais prévus.
  • Bien que les Guides de la CNIL et de l’ANSSI sur la sécurité des données personnelles n’aient pas de caractère impératif, ils sont pertinents dans le cadre de la définition des mesures de sécurité.

Délibération complète de la CNIL

Consulter

À lire aussi