La Cnil vient d’annoncer avoir sanctionné EDF d’une amende de 600.000 euros pour des infractions relatives aux données personnelles et à la prospection commerciale.
Saisie de plusieurs plaintes, l’institution « a considéré que la société avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD) et le code des postes et des communications électroniques (CPCE) ».
Selon la Cnil, le montant de l’amende tient « compte de la coopération de la société et de l’ensemble des mesures qu’elle a prises au cours de la procédure pour se mettre en conformité sur tous les manquements qui lui étaient reprochés ».
La question du consentement valable des destinataires d’une campagne de prospection commerciale
Le premier fournisseur d’électricité en France n’a notamment pas pu prouver qu’il avait obtenu de manière préalable le consentement valable des destinataires d’une campagne de prospection commerciale par voie électronique réalisée entre 2020 et 2021.
« Lors des contrôles, la société a fourni à la CNIL deux exemples de formulaire type de collecte de données des prospects mis à sa disposition par un courtier en données (data broker en anglais). Toutefois, elle n’a pas été en mesure de communiquer à la CNIL la liste des partenaires destinataires des données, alors qu’une telle liste doit être tenue à la disposition des personnes au moment de donner leur consentement » indique la Commission.
EDF a également manqué à son obligation d’informer les personnes sur l’utilisation des données personnelles utilisées sur son site internet et n’a pas répondu dans les délais aux personnes souhaitant exercer leurs droits d’accès ou d’opposition à l’utilisation de leurs données.
« Aucune vérification sur les formulaires de recueil du consentement »
« La société a reconnu qu’à la date des contrôles, elle n’exerçait aucune vérification sur les formulaires de recueil du consentement utilisés et qu’elle ne réalisait pas d’audits sur les courtiers en données » dit à ce sujet la Commission. Enfin, la formation restreinte de la Cnil a sanctionné un défaut de sécurisation des mots de passe, ce qui peut causer des risques pour les internautes en cas de piratage.
Cette annonce fait partie d’ue série de sanctions rendue publique par la Cnil. En septembre dernier le service Infogreffe était sanctionné par la Cnil à hauteur de 250 000 euros. Son tort ? Avoir manqué à plusieurs obligations du RGPD en matière de durée de conservation et de sécurité des données personnelles.
Et la Cnil veut aussi aller de l’avant sur les données de santé et le RGPD. Le 16 novembre dernier, la Commission annonçait réclamer une loi pour préciser dans quelles conditions les organismes d’assurance maladie complémentaire peuvent collecter les données de santé des assurés, dans le respect du RGPD et du secret médical.