Village de la Justice www.village-justice.com

Le fournisseur d’électricité EDF sanctionné par la Cnil. Par Debora Cohen, Avocat.
Parution : lundi 6 février 2023
Adresse de l'article original :
https://www.village-justice.com/articles/fournisseur-electricite-edf-sanctionnee-par-cnil,45076.html
Reproduction interdite sans autorisation de l'auteur.

Le 24 novembre 2022, la Commission nationale de l’informatique et des libertés (ci-après Cnil) a prononcé une sanction de 600 000 euros à l’encontre d’EDF après avoir constaté des manquements en matière de prospection commerciale et de droit des personnes.

En effet, à l’occasion de plusieurs contrôles, la Cnil a constaté qu’EDF commettait des manquements au Règlement général sur la protection des données (ci-après RGPD) et au Code des postes et des communications électroniques (ci-après CPCE).

Des manquements à l’exercice des droits des personnes.

Toute personne concernée par un traitement a le droit d’exercer son droit d’accès sur ses données personnelles.

A cet égard, le responsable du traitement doit lui communiquer les données et informations demandées.

C’est également le cas pour l’exercice du droit d’opposition en matière de prospection commerciale, notamment.

En l’espèce, la Cnil a retenu que la société EDF a communiqué des informations inexactes sur la source des données collectées, et qu’elle n’a pas pris en compte l’opposition à recevoir de la prospection commerciale.

Par ailleurs, la Cnil a soulevé des manquements dans la charte de protection des données personnelles figurant sur le site d’EDF, laquelle ne précisait pas clairement la base légale de tous les traitements et la durée de conservation des données personnelles.

Le défaut de consentement à la prospection commerciale.

En vertu des articles 7 du RGPD [1] et L34-5 du CPCE, la société EDF a l’obligation de recueillir le consentement des personnes concernées pour leur adresser de la prospection commerciale par voie électronique.

Cette exigence n’a pas été respectée par EDF lors de sa campagne de prospection commerciale réalisée entre 2020 et 2021.

De surcroit, la société EDF n’a pas été en mesure de fournir à la Cnil la liste des partenaires destinataires des données personnelles, alors même que cette liste doit être à mise à disposition des personnes concernées au moment de leur consentement.

Le fournisseur d’électricité avait pourtant sollicité l’intervention de courtiers en données pour s’assurer que le consentement a été valablement donné par les personnes concernées avant d’être démarchées.

La Cnil a estimé que cette démarche était insuffisante du fait que la société EDF ne vérifiait pas les formulaires de recueil du consentement et ne réalisait pas d’audits sur les courtiers en données.

La sécurité des données personnelles mise en jeu.

Peu de temps après sa sanction à l’encontre de la société Discord [2] pour des manquements liés à la sécurité des données à caractère personnel, le premier fournisseur d’électricité de France se voit également sanctionné sur ce même fondement.

En vertu de l’article 32 du RGPD [3],

« le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

A cet égard, la Cnil a constaté que :

- Les mots de passe d’accès à l’espace client du portail « prime énergie » comptant plus de 25 000 comptes étaient conservés avec un procédé non sécurisé jusqu’à juillet 2022 ;

- Les mots de passe d’accès à l’espace client EDF de plus de 2,4 millions de comptes étaient uniquement hachés (une série de caractères calculés à la place du mot de passe) sans avoir été salés (ajout de caractères aléatoires avant le hachage, pour éviter de retrouver un mot de passe par comparaison de hachages) ce qui les exposait à des risques.

La Cnil précise que la société EDF affirme que « tous les mots de passe des utilisateurs du site « prime énergie » sont aujourd’hui stockés avec un sel et un algorithme fort ».

La Cnil a décidé de rendre publique sa sanction en considérant que :

« la publicité de la sanction se justifie au regard de la nature et du nombre de manquements commis, ainsi que du nombre de personnes concernées par lesdites violations, en particulier plus de 2 400 000 clients s’agissant du manquement à la sécurité des données ».

Debora Cohen, avocat au barreau de Paris, en protection des données personnelles et DPO externalisé Mail : [->debora.cohen@dcavocat.com] Site : https://www.dcavocat.com/