Analyse par Alexis Chauveau Maulini, Avocat certifié CIPP/E (DS Avocats)
Une sanction Allemande
L’autorité de contrôle allemande (BfDI – équivalent allemand de la CNIL) a prononcé une amende de 9,55 M€ à l’encontre de la société 1&1 Telecom. Pas question de recueil du consentement, du traitement de données à caractère personnel particulier ou de données sensibles, ici il était reproché à l’opérateur télécom de ne pas avoir suffisamment protégé les données à caractère personnel de ses clients.
Une violation de l’article 32 du RGPD
Plus précisément l’amende de 9,55 M€ à l’encontre de la société 1&1 Telecom vient sanctionner une violation de l’article 32 du Règlement général sur la protection des données (RGPD), c’est-à-dire un manquement aux obligations qui pèsent sur le responsable du traitement (et sur le sous-traitant) en matière de sécurité des données à caractère personnel collectées et traitées.
Concrètement, il était possible d’obtenir des informations sur n’importe quel compte client de la société 1&1 Telecom en contactant le service client par téléphone et en déclinant le nom et la date de naissance dudit client, sans aucune autre vérification concernant l’identité de la personne à l’origine de l’appel téléphonique. Cet événement aurait pu devenir une véritable atteinte au droits des personnes physiques à disposer de leurs données.
La BfDI a considéré que cette procédure d’authentification n’était pas suffisamment protectrice des données personnelles des clients de la société 1&1 Telecom et caractérisait une violation de l’article 32 du RGPD, puisque cet article impose de mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…) ».
Retrouvez les dernières sanction au sein de la carte interactive des sanctions de DATA LEGAL DRIVE
Une sanction proportionnée et dissuasive
La BfDI a justifié cette amende de 9,55 M€ à l’encontre de la société 1&1 Telecom par sa volonté de prononcer des sanctions qui soient dissuasives – afin de garantir le respect de la réglementation en matière de protection des données à caractère personnel – et proportionnées au manquement reproché, autant de conditions qui sont prévues par l’article 83.1 du RGPD.
Dans le même temps l’autorité de contrôle a relevé la parfaite coopération de la société 1&1 Telecom dans le cadre de l’instruction de l’affaire, et en particulier le fait que des mesures correctrices aient été mises en place rapidement pour palier le manquement reproché.
L’opérateur Télécom a été néanmoins sanctionné au motif (notamment) que le manquement concernait l’ensemble de sa base de données clients – au demeurant très importante – et que le risque sur la confidentialité des données pesait sur l’ensemble des clients et non sur une partie restreinte d’entre eux. Il y avait donc un véritable risque concernant les droits et libertés des personnes physiques à jouir de leurs données à caractère personnel.
La société 1&1 Telecom a fait savoir qu’elle intenterait un recours à l’encontre de cette sanction dont le montant lui parait excessif. Il sera intéressant de vérifier dans quelle mesure les juges saisis confirmeront, ou au contraire infirmeront, le quantum retenu et donc son caractère proportionné ou pas au regard des faits reprochés.
Les sanctions du RGPD
Découvrez les différents type de sanctions applicables par le RGPD
