Combien font 1+1 ? 9,55 millions !

L’opérateur 1&1 vient d’écoper d’une amende de 9,55 millions d’euros prononcée par l’autorité de contrôle allemande pour non-conformité de son service client au RGPD.

Une des amendes RGPD les plus élévées à ce jour

Le Commissaire fédéral à la protection des données et à la liberté d'information (BfDI) a infligé une amende de 9,55 millions d’euros au fournisseur de services de télécommunications 1 & 1 Telecom pour n’avoir pas mis en œuvre des mesures techniques et organisationnelles suffisantes dans le cadre de son service client. Cette amende figure parmi celles des plus élevées à ce jour dans le cadre du RGPD.

L’autorité de contrôle a constaté que n’importe qui pouvait avoir accès aux données d’un client en fournissant le nom et la date de naissance d’un client, ce qui constitue un manquement au RGPD au visa de l’article 32 relatif à la sécurité du traitement. Pour mémoire, celui-ci prévoit :

[L]e responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque […].

Un risque qui pèserait sur la totalité des clients de 1&1

Cette sanction intervient alors même que la société 1&1 s’est montrée coopérative et diligente dans la remédiation de l’écart reproché. En effet, très rapidement la société a mis en place une procédure temporaire de renforcement de l’authentification mise en œuvre par le service client. Dans un second temps, elle a entrepris de l’implémentation d’un outil innovant d’authentification et de protection des données personnelles.

L’autorité allemande a néanmoins indiqué qu’une amende s’avérait nécessaire dans la mesure où la faille n’était pas isolée mais faisait peser un risque sur la totalité des clients de la société.

Elle indique également dans son communiqué qu’elle est actuellement en cours d’analyse du service client d’autres fournisseurs. Cela démontre l’importance de procéder à une veille constante de chaque autorité de contrôle afin d’en tirer toutes les conséquences dans une logique de conformité continue.

1&1 conteste la caractérisation de données personnelles

De son côté, la société 1&1 a déclaré qu’elle entendait contester cette décision qu’elle considère disproportionnée dans la mesure où, d’une part, la faille reprochée permet simplement d’avoir accès à des informations contractuelles et non à des données à caractère personnel et d’autre part, car des efforts considérables de remédiation ont été entrepris ce que l’autorité ne semble pas avoir pris en compte dans la détermination du montant de la sanction.

Cette affaire va donc se transformer en un contentieux dont il faudra surveiller l’issue. La décision à venir permettra ainsi de disposer de plus de précisions quant au chiffrage des sanctions.

Une affaire à suivre de près.

(Source : BfDI)