Quand Orange voit rouge, en Espagne

L’opérateur historique français, Orange s’est vu infliger une amende de 30 000 euros pour manquement et négligence. La multinationale a cependant vu la douloureuse baissée de 50 000 à 30 000 euros, après avoir reconnu expressément sa responsabilité dans l’affaire. C’est le résultat de l’enquête réalisée par l’agence espagnole de protections des données (AEPD) après qu’un fraudeur ait usurpé l’identité d’un client. Il avait réclamé une copie de la carte SIM et effectué des transferts via Bizum.

Tout commença le 26 février 2020 lorsque ledit plaignant avait voulu la portabilité de son numéro de téléphone mobile, de Yoigo vers MásMóvil. Dès le lendemain, ce dernier annulait sa demande par téléphone. Mais l’une d’elles avait été conservée, malgré les assurances selon lesquelles la portabilité avait été neutralisée. Le 5 mars 2020, n’ayant plus de ligne active sur son cellulaire, il contactait Yoigo. Six jours plus tard, l’opérateur lui envoyait une nouvelle carte SIM en indiquant que la société allait réactiver la ligne sous 48 heures.

Quarante-huit heures s’écoulent, lorsque le 13 mars 2020, l’homme s’aperçoit que des transferts bancaires non autorisés et de grande valeur sont effectués. Ce à partir de son compte au sein de la Banco Bilbao Vizcaya Argentaria (BBVA), dont deux par Bizum, réalisé par un ou des tiers. Il contacte aussitôt MásMóvil, car il soupçonne que ce qui s’est déroulé est dû à la disparition de sa carte SIM. Après enquête, il a découvert que son numéro appartenait à Orange depuis le jour où les mouvements d’argent ont eu lieu, mais que la nouvelle ligne n’était pas à son nom. La multinationale française, a affirmé que les contrôles relatifs à la vérification de l’identité des contractants étaient correctement appliqués, cependant qu’elle se renseigner à se sujet pour clarifier ce qui s’était passé. Durant ce laps de temps, l’opérateur historique avait concentré ses efforts sur la mise en œuvre de systèmes et de mesures visant à garantir la protection de ses clients. En outre, elle a rappelé que la société fournissant les données, Yoigo, a validé les informations et n’a pas mis en garde contre d’éventuelles failles de sécurité.

De 50 000 à 30 000 euros d’amende

Cependant, l’agence espagnole rejette catégoriquement (dans son rapport de douze pages n° PS/00308/2021) les arguments et estime que l’entreprise française a agi par négligence. Dans la conclusion, l’AEPD reproche également à Yoigo d’avoir traité les données personnelles du plaignant sans en avoir le droit. Car elle a effectué la portabilité sans vérifier si l’individu qui la demandait était ou non le plaignant. Ce faisant, elle a violé l’article 6 du règlement général sur la protection des données (RGPD), ce qui est considéré comme une infraction très grave.

Au total, l’amende avait été fixée à 50 000 euros, mais la société a fini par s’acquitter des 30 000 euros en payant volontairement et en reconnaissant expressément sa responsabilité. Ces deux éléments prévus par l’AEPD pour réduire le montant des pénalités. L’AEPD fait valoir que l’affaire n’aurait pas eu lieu si la compagnie de téléphone avait été plus rigoureuse pour vérifier que le consommateur était bien celui qu’il prétendait être.

Ce n’est pas la première fois que l’agence espagnole de protections des données sanctionne Orange. En avril 2021, une amende de 150 000 euros pour avoir forcé ses clients à accepter ses politiques de confidentialité lui était infligée. De même, en juillet de l’année dernière, elle a dû régler 80 000 euros pour ne pas avoir pris de mesures visant à empêcher la contraction frauduleuse de contrats de lignes téléphoniques. En effet, six lignes avaient été acquises au nom de la plaignante tandis qu’elle n’avait pas donné son consentement. L’agence a fortement critiqué Orange pour avoir permis à l’escroc de se faire passer pour la victime après avoir obtenu ses documents. L’affaire est cocasse puisque la voix du malfrat était masculine alors que le client qu’il prétendait être une femme.

162 plaintes et 50 sanctions en deux ans

Le secteur des télécommunications est l’un des plus réprimés pour les atteintes à la vie privée en Espagne. En mars dernier, le gendarme ibérique a infligé une amende record de plus de huit millions d’euros à Vodafone pour avoir violé deux articles du RGPD. Au total, c’est 8 150 000 euros répartis en quatre sanctions. La première de quatre millions d’euros pour une violation du règlement général sur la protection des données. La deuxième de deux millions d’euros pour un nouveau non-respect du RGPD. La troisième de 150 000 euros pour un délit grave à la loi sur les services de la société de l’information et le commerce électronique (LSSICE), et enfin deux autres millions d’euros pour une infraction à la loi générale sur les télécommunications.

Vodafone estime que « le montant de la sanction est disproportionné » et « souligne que Vodafone traite les données de ses clients avec les garanties maximales de confidentialité et de respect de la vie privée ». Dans un délai de six mois, Vodafone Spain doit prouver à l’AEPD qu’elle s’est conformée aux lois sur la protection des données. En 2020, et selon le rapport annuel de l’AEPD pour cette année-là, ces entreprises ont eu des sanctions parmi les plus élevées, payant un million d’euros pour avoir violé les droits de leurs clients. Ils n’ont été dépassés que par les institutions financières, comme la Caixabank et ses 6 millions d’euros.