Free Mobile, la filiale du groupe Iliad commence l’année 2022 avec une amende de 300 000 euros infligée par la CNIL. La société est en effet accusée d'avoir de ne pas avoir suffisamment respecté la sécurité des données de ses utilisateurs dans le cadre du Règlement Général sur la Protection des Données (RGPD).

À la suite de 19 plaintes de particuliers prononcées entre le mois de décembre 2018 et le mois de novembre 2019 à l’encontre de Free Mobile, la Commission nationale de l’informatique et des libertés (CNIL) a décidé d’infliger une amende de 300 000 euros à l’opérateur Free Mobile. La société est en effet accusée de ne pas avoir respecté les droits et obligations liées à la protection des données personnelles de ses clients. Le premier dysfonctionnement constaté est relatif à la prospection commerciale des personnes. La CNIL avait reçu des plaintes sur l'impossibilité pour certaines personnes d’être retirées des listings de prospection. La CNIL souligne ainsi « les difficultés rencontrées par des personnes dans la prise en compte de leurs demandes » d'accès aux données les concernant, certaines personnes continuant à être sollicitées après avoir manifesté leur opposition (par courrier ou mail) à l’usage de leurs données personnelles à des fins commerciales.

La CNIL reproche ensuite à Free la manière dont sont protégées les données de ses clients, notamment « l'obligation de protéger les données dès la conception » et « la sécurité des données ». La société aurait en effet continué « d’envoyer à des plaignants des factures concernant des lignes téléphoniques dont l’abonnement avait pourtant été résilié ». De même que la sécurité de celles-ci puisque la société transmettait à certains de ses clients leur mot de passe en clair lors de leur souscription à une offre sans qu'il soit nécessaire de le modifier après la première connexion.

L’amende apparaît toutefois assez élevée au regard du nombre de plaintes et de la gravité des situations. Calculé en fonction de la situation financière de la société, le montant de l’amende atteint donc les 300 000 €, conformément au chiffre d’affaires de 2,1 milliards d’euros annoncé par Iliad lors de son dernier exercice annuel. En plus de l’amende, la sanction comporte également un volet dissuasif supplémentaire, à savoir la publicité de cette sanction (toutes les sanctions de la CNIL n’étant pas publiques). Celle-ci se justifie par « la nécessité de rappeler l’importance de traiter les demandes de droit des personnes et la sécurité des données des utilisateurs ».