L’opérateur vient d’écoper d’une sanction de 300 000 euros infligée par la Cnil. Le régulateur reproche à Free Mobile non seulement de ne pas avoir respecté les droits d’accès et d’opposition de ses prospects, mais aussi d’avoir négligé la sécurité des données de ses clients.
La Cnil démarre 2022 en fanfare. Quelques jours après avoir sanctionné Slimpay, le gendarme des données personnelles remet le couvert. Cette fois-ci, c’est Free Mobile qui est visé. Dans une délibération, le régulateur explique avoir été saisi de plusieurs plaintes de prospects de l’opérateur. Ces derniers accusaient Free Mobile de ne pas tenir compte de leur droit d’accès et d’opposition.
Après deux contrôles, sur place et sur pièces, la Cnil a donné raison aux plaignants, constatant que Free Mobile manquait bel et bien à ses obligations de respect du droit d’accès des personnes aux données les concernant, et ignorait proprement les recours de prospects demandant que plus aucun message de prospection commerciale ne leur soit envoyé.
Mais plus encore, la Cnil a remarqué lors de ses visites quelques irrégularités dans la manière qu’a Free Mobile de protéger les données de ses clients. A commencer par un cas très spécifiques, celui des forfaits multilignes. Dans le cadre de résiliation, deux abonnés continuaient de recevoir des factures à zéro euro. Or, aux yeux du gendarme des données personnelles, cette pratique contrevient à l’article 25 du RGPD.
Des mots de passe envoyés par mail
En effet, s’il est nécessaire que Free conserve les informations d’une personne titulaire d’une ligne résiliée, à des fins comptables ou encore de résolution de contentieux, « il n’est en revanche pas nécessaire de continuer à traiter cette information dans le cadre de l’émission des facturations en cours ». En résumé, l’opérateur aurait dû prévoir des mesures pour ne plus traiter ces données de la sorte à la suite d’une résiliation.
Mais il y a bien pire. En effet, la Cnil a constaté que Free Mobile transmet à ses utilisateurs, par courriel et en clair, leur mot de passe. Un mot de passe qu’il n’est pas obligatoire de changer après création du compte. La Cnil « considère qu’en l’espèce, les modalités de transmission des mots de passe mises en œuvre par la société ne sont pas adaptées au regard du risque que ferait peser sur la personne concernée la captation de leur identifiant et de leur mot de passe par un tiers ».
Ces divers manquements valent à Free Mobile une sanction à hauteur de 300 000 euros.