Le 30 novembre 2022, la CNIL a infligé une amende de 300 000 euros au fournisseur de services de télécommunication FREE (n°SAN-2022 – 022; traduction anglaise sur GDPRhub), après avoir reçu 41 plaintes contre FREE pour des difficultés liées au droit à l’information. FREE n’avait notamment pas fourni d’informations sur les Source des données utilisées à des fins de marketing a été accordée. FREE avait fait valoir que cette information constituait un Secret des affaires au sens de l’article 15, paragraphe 4, du RGPD (“Le droit d’obtenir une copie conformément au paragraphe 3 ne doit pas porter atteinte aux droits et libertés d’autres personnes”).
La CNIL rejette cette affirmation. La réserve des droits et libertés d’autrui se réfère uniquement à l’article 15, paragraphe 4, du RGPD, à savoir le droit à une Copie des données, mais pas à l’article 15, paragraphe 1, du RGPD, c’est-à-dire aux informations à fournir sur le traitement des données, y compris les informations disponibles sur la source des données. En outre, l’article 5, paragraphe 1, du RGPD exige, entre autres, la transparence du traitement. Le responsable du traitement ne peut donc que refuser de fournir des informations sur la source des données, si l’indication n’est pas possible:
doit par principe communiquer “la source spécifique” relative aux données et […] la limitation du droit d’accès aux indications de la “nature des sources, des types d’organismes, d’entreprises et de secteurs” ne peut intervenir que lorsqu’il ne détient pas cette information, l’identification de la source spécifique des données à caractère personnel de la personne concernée étant impossible
Sur Chaînes de traitement il ne suffit pas de mentionner le lien qui a initialement collecté les données auprès de la personne concernée. Il faut plutôt mentionner la source directe, en l’occurrence le courtier en données auprès duquel FREE a obtenu les données.
De plus, FREE a eu le Droit à l’effacement des données ont été violés. Les personnes concernées avaient demandé la suppression de leur compte de courrier électronique gratuit. FREE avait renoncé à cette suppression en faisant valoir que la demande de suppression d’un compte de messagerie ne constituait pas une demande de suppression au sens du RGPD. Là encore, la CNIL rejette cette demande au motif qu’elle contient nécessairement une demande de suppression des données personnelles liées au compte.
Enfin, FREE enfreignait les exigences en matière de sécurité des données, car aucune donnée particulière n’était Complexité du mot de passe pour les comptes utilisateurs parce que les mots de passe des utilisateurs avaient été stockés en clair et transmis aux utilisateurs en clair. En l’occurrence, l’obligation de documenter les violations de la sécurité des données a également été enfreinte après la distribution à de nouveaux abonnés de boîtes de matériel informatique réutilisées, qui contenaient toujours des données personnelles des anciens abonnés.