Le Quotidien du 13 décembre 2022 : Données personnelles

[Brèves] Prospection commerciale et droits des personnes : la CNIL sanctionne EDF

Réf. : CNIL, délibération n° SAN 2022-021, 24 novembre 2022 N° Lexbase : X7308CNY

Lecture: 4 min

N3574BZE

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] Prospection commerciale et droits des personnes : la CNIL sanctionne EDF. Lire en ligne : https://www.lexbase.fr/article-juridique/90452920-breves-prospection-commerciale-et-droits-des-personnes-la-cnil-sanctionne-edf
Copier

par Vincent Téchené

le 12 Décembre 2022

► Le 24 novembre 2022, la CNIL a sanctionné la société EDF d’une amende de 600 000 euros, notamment pour ne pas avoir respecté ses obligations en matière de prospection commerciale et de droits des personnes.

La CNIL a reçu plusieurs plaintes concernant les difficultés rencontrées par des personnes dans la prise en compte de leurs droits par la société EDF.

Sur la base des constatations effectuées lors des contrôles, la formation restreinte a considéré que la société avait manqué à plusieurs obligations prévues par le RGPD (Règlement n° 2016/679, du 27 avril 2016 N° Lexbase : L0189K8I) et le Code des postes et des communications électroniques (CPCE).

La CNIL a constaté un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (CPCE, art. L. 34-5 N° Lexbase : L7352LXL et  RGPD, art. 7).

Entre 2020 et 2021, EDF a réalisé une campagne de prospection commerciale par voie électronique. Cependant, elle n’a pas été en mesure de démontrer à la CNIL qu’elle avait obtenu au préalable un consentement valable des personnes.

Lors des contrôles, la société a fourni à la CNIL deux exemples de formulaire type de collecte de données des prospects mis à sa disposition par un data broker. Toutefois, elle n’a pas été en mesure de communiquer à la CNIL la liste des partenaires destinataires des données, alors qu’une telle liste doit être tenue à la disposition des personnes au moment de donner leur consentement.

Enfin, les mesures mises en place par la société EDF auprès de ses courtiers en données pour s’assurer que le consentement a été valablement donné par les personnes avant d’être démarchées étaient insuffisantes. En effet, la société a reconnu qu’à la date des contrôles, elle n’exerçait aucune vérification sur les formulaires de recueil du consentement utilisés et qu’elle ne réalisait pas d’audits sur les courtiers en données.

Les vérifications effectuées par la CNIL ont également permis de mettre en évidence d’autres manquements retenus dans la décision de sanction.

Elle a ainsi constaté un manquement à l’obligation d’information des personnes : la charte de protection des données personnelles qui figurait sur le site web de la société ne précisait pas la base légale correspondant à chaque cas d’usage des données et était imprécise sur les durées de conservation (RGPD, art. 13). De plus, dans le premier courrier de prospection commerciale adressé par EDF aux personnes, la source des données n’était pas indiquée de façon suffisamment précise. EDF écrivait seulement que les « données ont été collectées auprès d’un organisme spécialisé dans l’enrichissement de données », sans indiquer précisément d’où provenaient les données (RGPD, art. 14).

La CNIL a également mis en évidence un manquement aux obligations relatives aux modalités d’exercice des droits (RGPD, art. 12) : la société n’a notamment pas répondu à certains plaignants dans le délai d’un mois prévu par les textes.

Par ailleurs, EDF a également manqué à l’obligation de respecter le droit d’accès aux données (RGPD, art. 15) et au droit d’opposition des personnes concernées (RGPD, art. 21). La société a donné des informations inexactes sur la source des données collectées et n’a pas pris en compte l’opposition à recevoir de la prospection commerciale.

Enfin, la formation restreinte a également retenu un manquement à l’obligation d’assurer la sécurité des données personnelles (RGPD, art. 32) puisque :

  • les mots de passe d’accès à un espace client du portail de plus de 25 000 comptes étaient conservés de manière non sécurisée jusqu’à juillet 2022 ;
  • les mots de passe d’accès à l’espace client EDF de plus de 2,4 millions de comptes étaient uniquement hachés, sans avoir été salés (ajout de caractères aléatoires avant le hachage, pour éviter de retrouver un mot de passe par comparaison de hachages), ce qui les exposait à des risques.

© Reproduction interdite, sauf autorisation écrite préalable

newsid:483574

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.