A la suite de plusieurs plaintes d'abonnés, un opérateur de téléphonie mobile est sanctionné par la Cnil pour avoir manqué à plusieurs obligations prévues par le règlement européen 2016/679 du 27 avril 2016 (RGPD).
L’amende prononcée s’élève à 300 000 €, ce qui peut paraître peu élevé au vu du montant des sanctions récemment infligées par la Cnil à d’autres sociétés.
Retrouvez toute l'actualité en matière de droit des sociétés, droit commercial et de la concurrence dans Navis Droit des Affaires !
Pas encore abonné ? Nous vous offrons un accès au fonds documentaire Navis Droit des Affaires pendant 10 jours.
Manquements sanctionnés
Est tout d'abord sanctionné un manquement au droit d’accès des personnes aux données les concernant (RGPD art.15) et à l'obligation de répondre à une demande dans les délais prévus par le RGPD (art. 12, 4).
Un abonné avait souhaité accéder à ses données personnelles après avoir résilié son contrat. L’opérateur n'avait pas répondu à sa demande car il ne disposait plus de ces données.
La Cnil considère qu'en application de l'article 12, 4 du RGPD l'opérateur aurait dû répondre à l'abonné avant la fin d'un délai d'un mois pour l'informer de la suppression des données.
Est également établi un manquement aux règles qui organisent un droit d’opposition à certains traitements de données personnelles et, en particulier, aux traitements de prospection commerciale (RGPD art. 21).
Des personnes avaient fait l’objet de démarchages téléphoniques et de prospection par SMS en dépit de demandes d'opposition à de telles pratiques. L'opérateur avait soutenu qu'il avait bien pris en compte ces demandes. Mais la Cnil relève que, de toute façon, et contrairement à ce que prescrit l’article 12, 4 précité, aucune réponse n’avait été apportée aux demandeurs dans le délai d’un mois à compter de la réception des oppositions.
Par ailleurs, deux abonnés, titulaires d’un abonnement « multilignes », reprochaient à l'opérateur de leur adresser des factures sur lesquelles apparaissait encore la mention d’une des lignes téléphoniques qu’ils avaient résiliée.
La Cnil rappelle que, selon la règle de la protection des données « dès la conception » (« Privacy by design »), des mesures techniques et organisationnelles appropriées doivent être mises en œuvre au moment de la détermination des moyens du traitement (RGPD art. 25). Au cas présent, de telles mesures auraient permis d’éviter que l’information relative à la ligne résiliée continue à être traitée dans le cadre de l’émission des factures en cours. La Commission précise toutefois que cette information pouvait éventuellement être conservée pour l’exécution d’un contrat d’abonnement, à des fins comptables ou en vue de la gestion d’un contentieux.
Enfin, est retenu un manquement à l’obligation de sécurité à la charge de l’opérateur (RGPD art. 32). En effet, lors de leur souscription à une offre de l'opérateur, les abonnés recevaient leurs mots de passe par courriel « en clair ». Cette pratique peut constituer un risque pour la vie privée des intéressés.
Sanctions prononcées
Le montant de la sanction infligée paraît peu élevé par rapport à celui de certaines amendes récemment prononcées par la Cnil et qui atteignent parfois plusieurs dizaines de millions d’euros (par exemple, délib. Cnil n° SAN-2021-023 du 31-12-2021 condamnant respectivement les sociétés Google LLC et Google Ireland Limited à des amendes de 90 millions et 60 millions d’euros et délib. Cnil n° SAN-2021-024 du 31-12-2021 condamnant la société Facebook Ireland Limited à une amende de 60 millions d’euros).
Pour déterminer le montant des amendes administratives qui répriment les violations du RGPD, les autorités nationales de contrôle sont tenues d'appliquer l'article 83 du règlement, qui définit de nombreux critères destinés à guider l’appréciation de ces autorités : les amendes doivent être « effectives, proportionnées et dissuasives ».
Dans la présente affaire, l’analyse de la Cnil est pour le moins nuancée. D’un côté, elle relève que l’opérateur a commis quatre manquements à des règles essentielles qui assurent la protection des droits des personnes. Elle souligne également que, si l'opérateur s’est efforcé de remédier à ces manquements au cours de la procédure de sanction, les mesures qu’il a prises ne l’exonèrent pas de sa responsabilité. Mais, en même temps, la Commission admet n’avoir reçu que quelques plaintes isolées et très peu nombreuses par rapport au nombre total d’abonnés. C’est la mise en balance de ces deux séries de considérations qui aboutit à sanctionner l’opérateur avec modération.
La Cnil ordonne également la publication de la décision, sans anonymisation, pendant deux ans.