La Commission nationale de l’informatique et des libertés (Cnil) inflige à EDF une amende de 600 000 €. Elle reproche au premier fournisseur d’électricité en France de ne pas avoir respecté ses obligations en matière de prospection commerciale et de droits des personnes.
Parmi les griefs retenus, la Cnil souligne en particulier un manquement à l’obligation d’assurer la sécurité des données personnelles, en vertu du Règlement général sur la protection des données. Une sécurité des données jugée insuffisante et des mots de passe trop faibles.
Un salage pas bien étalé
Jusqu’en juillet 2022, les mots de passe d’un peu moins de 26 000 comptes pour l’espace client du portail prime énergie étaient stockés avec la fonction de hachage MD5 largement obsolète, alors qu’une fonction de hachage plus robuste était censée être utilisée depuis janvier 2018… ce qui demeure néanmoins tardif.
Pour l’accès à l’espace client EDF, les contrôles de la Cnil ont en outre révélé que si plus de 11,2 millions de mots passe de comptes étaient hachés et salés, plus de 2,4 millions étaient uniquement hachés.
Le salage consiste à insérer des caractères aléatoires au mot de passe avant d’appliquer la fonction de hachage à sens unique. Cela permet une protection supplémentaire contre des attaques de type dictionnaire et afin d’éviter de retrouver un mot de passe avec la comparaison de hachages.
De l’histoire désormais ancienne pour EDF
Dans sa communication, la Cnil souligne la coopération d’EDF et précise que tous les manquements signalés ont été comblés. Au-delà de la question des mots de passe, il y avait un défaut de recueil du consentement préalable des personnes pour de la prospection commerciale par email réalisée entre 2020 et 2021.
Il a également été reproché à EDF un manque d’information sur l’utilisation des données personnelles, des imprécisions sur les durées de conservation des données, le non-respect du droit d’accès et d’opposition à recevoir de la prospection personnelle.
Mi-novembre, c’est la plateforme de messagerie Discord qui a été sanctionnée par la Cnil avec une amende de 800 000 €.