La Commission nationale de l’informatique et des libertés sanctionne EDF pour ne pas avoir respecté ses obligations en matière de prospection commerciale et de droits des personnes.
La CNIL vient d’annoncer avoir sanctionné EDF le 24 novembre. Le fournisseur d’électricité écope d’une amende de 600 000 euros, car il a manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD) et le code des postes et des communications électroniques (CPCE). Le montant de l’amende tient compte des manquements, mais aussi de la coopération de l’entreprise pendant la procédure et de l’ensemble des mesures qu’elle a prises pour corriger les défauts qui lui étaient reprochés.
En effet, la CNIL a reçu plusieurs plaintes de personnes qui estimaient avoir des difficultés pour faire prendre en compte leurs droits par EDF. Cela concerne d’abord une campagne de prospection commerciale réalisée par voie électronique entre 2020 et 2021. L’entreprise n’a pas été en mesure de démontrer qu’elle avait obtenu au préalable un consentement valable des personnes, ce qui va à l’encontre des articles 7 du RGPD et L. 34-5 du CPCE. Elle a reconnu n’avoir procédé à aucune vérification sur les formulaires de recueil du consentement utilisés. En outre, elle n’a pas réalisé d’audits sur les courtiers en données (data broker) qui ont réalisé la collecte d’informations.
Le RGPD a également été mis à mal par EDF sur son site web, en ne donnant pas assez d’informations sur la protection des données personnelles. Par exemple, les durées de conservation étaient imprécises et la base légale pour chaque cas d’usage n’était pas clairement décrite. En outre, l’entreprise n’a pas précisé la source des données dans un courrier de prospection commerciale qu’elle a envoyé. Et quand certains clients ont voulu exercer leurs droits, EDF n’a pas répondu dans le délai d’un mois qui est prévu dans l’article 12 du RGPD. La CNIL reproche aussi à EDF de ne pas avoir tenu compte des demandes de certaines personnes qui s’opposaient à la réception de prospection commerciale (article 21 du RGPD) et d’avoir fourni des informations inexactes aux clients qui demandaient un accès à leurs données (article 15 du RGPD).
Enfin, EDF a mal sécurisé les données de ses clients. Jusqu’en juillet 2022, les mots de passe d’accès à l’espace client du portail « prime énergie » de plus de 25 000 comptes ne bénéficiaient pas de mesures de sécurité suffisantes. Quant à ceux de l’espace clients EDF de plus de 2,4 millions comptes, ils n’étaient pas suffisamment protégés (pas d’ajout de caractères aléatoires par la technique du salage) et risquaient d’être découverts en cas de piratage.
Source :
CNIL