Iliad condamné en Italie pour l’accès des salariés aux données de trafic

Iliad condamné en Italie pour l’accès des salariés aux données de trafic

L’opérateur français écope de 800.000 euros d’amende par la Cnil italienne. En cause notamment, les modalités d’accès des employés aux données de trafic. Pour violations du RGPD, 2 opérateurs ont hérité de sanctions de plusieurs millions d’euros en Italie.

Les fournisseurs d’accès Internet disposent d’un large accès aux données personnelles des internautes. En matière de conformité RGPD, ils se montrent cependant soucieux des règles. Ils échappent en tout cas, à ce jour, à des sanctions de la Cnil.

En Italie, les contrôles réalisés par l’autorité de protection des données personnelles mettent en évidence des infractions multiples de la part des opérateurs télécoms. La filiale du Français Iliad (Free) vient d’ailleurs d’écoper d’une sanction.

16,7 millions d’euros pour l’opérateur Wind Tre

Le régulateur inflige au fournisseur d’accès une amende de 800.000 euros. L’autorité a relevé plusieurs infractions à la législation sur la protection des données. Celles-ci portent notamment sur les modalités d’accès aux données de trafic par les salariés d’Iliad.

Cette sanction est néanmoins sans commune mesure avec celle prise contre un autre opérateur italien : Wind Tre. Pour violation du RGPD, l’acteur des télécoms doit en effet s’acquitter d’une amende de 16,7 millions d’euros.

Cette condamnation fait suite à de nombreuses plaintes dénonçant des actions de « marketing sauvage ». La Cnil italienne mène ainsi une série de contrôles auprès des opérateurs des télécoms, dont Wind Tre.

L’entreprise est d’ailleurs une récidiviste. L’opérateur est cette fois sanctionné pour de « nombreux traitements de données illicites ». Ceux-ci sont principalement liés à des activités promotionnelles. Ces mêmes activités avaient fait l’objet d’une injonction du régulateur par le passé.

La sanction de Wind Tre fait suite à des plaintes de consommateurs, ciblés par des messages marketing non consentis par SMS, courriels, fax, appels téléphoniques et appels automatiques. Dans de nombreux cas, les plaignants dénonçaient l’impossibilité d’exercer leur droit de révoquer leur consentement ou d’opposition.

L’Italie dans le Top 5 des sanctions RGPD

« Dans d’autres cas, la publication de données personnelles dans les annuaires téléphoniques publics a fait l’objet de plaintes malgré l’opposition (parfois répétée) des personnes concernées » précise encore l’autorité de protection.

D’autres pratiques de l’opérateur sont épinglées. Ainsi, au travers d’applications, l’entreprise contraignait les utilisateurs à fournir, à chaque nouvel accès, une série de consentements à différentes finalités de traitement (marketing, profilage, communication à des tiers, enrichissement et géolocalisation).

Enfin, la société est condamnée pour le mauvais choix de ses partenaires commerciaux et leurs pratiques en matière de gestion des données personnelles. Ainsi, l’un des partenaires de l’opérateur téléphonique sous-traitait (sans acte juridique) des phases entières du traitement à des centres d’appel, qui collectaient illégalement les données.

La condamnation de Wind Tre pour violations du RGPD est une des plus importantes prononcées depuis l’entrée en vigueur du Règlement européen. En Italie, c’est même la seconde par son montant. Le Cnil italienne infligeait déjà 27,8 millions d’euros d’amende à l’opérateur TIM en janvier.

La peine la plus lourde revient pour le moment à la France avec 50 millions d’euros, confirmée par le Conseil d’Etat, à l’encontre de Google. L’ICO britannique pourrait cependant ravir ce titre. Elle préconise ainsi 204,6 millions d’euros d’amende contre British Airway. L’hôtelier Marriott risque quant à lui une peine de 110,3 millions d’euros.

A lire également sur MyData

Recrutement digital

Algorithme d’IA dans le recrutement : les précautions RGPD à prendre

L’utilisation d’une technologie d’intelligence artificielle dans le cadre du recrutement impose des règles de conformité. Ainsi le tri de CV via du Machine Learning exige la conformité RGPD du prestataire. Les données d’apprentissage sont également fondamentales.

A propos de Christophe Auffray 318 Articles
De formation initiale en marketing Web et en économie, je me suis spécialisé par la suite dans la presse B2B consacrée à l'économie numérique et dispose dans ce secteur de 15 ans d'expérience. Spécialiste de la transformation numérique, de l'innovation et des nouveaux business models des entreprises, j'ai développé des compétences dans les domaines du marketing éditorial, de la stratégie éditoriale, de la production de contenus premium et la gestion de sites d'information et d'équipe dans l'univers des médias en ligne et du marketing des solutions innovantes.