[Brèves] Prospection commerciale et droits des personnes : la CNIL sanctionne EDF

► Le 24 novembre 2022, la CNIL a sanctionné la société EDF d’une amende de 600 000 euros, notamment pour ne pas avoir respecté ses obligations en matière de prospection commerciale et de droits des personnes.

La CNIL a reçu plusieurs plaintes concernant les difficultés rencontrées par des personnes dans la prise en compte de leurs droits par la société EDF.

Sur la base des constatations effectuées lors des contrôles, la formation restreinte a considéré que la société avait manqué à plusieurs obligations prévues par le RGPD (Règlement n° 2016/679, du 27 avril 2016 N° Lexbase : L0189K8I) et le Code des postes et des communications électroniques (CPCE).

La CNIL a constaté un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (CPCE, art. L. 34-5 N° Lexbase : L7352LXL et  RGPD, art. 7).

Entre 2020 et 2021, EDF a réalisé une campagne de prospection commerciale par voie électronique. Cependant, elle n’a pas été en mesure de démontrer à la CNIL qu’elle avait obtenu au préalable un consentement valable des personnes.

Lors des contrôles, la société a fourni à la CNIL deux exemples de formulaire type de collecte de données des prospects mis à sa disposition par un data broker. Toutefois, elle n’a pas été en mesure de communiquer à la CNIL la liste des partenaires destinataires des données, alors qu’une telle liste doit être tenue à la disposition des personnes au moment de donner leur consentement.

Enfin, les mesures mises en place par la société EDF auprès de ses courtiers en données pour s’assurer que le consentement a été valablement donné par les personnes avant d’être démarchées étaient insuffisantes. En effet, la société a reconnu qu’à la date des contrôles, elle n’exerçait aucune vérification sur les formulaires de recueil du consentement utilisés et qu’elle ne réalisait pas d’audits sur les courtiers en données.

Les vérifications effectuées par la CNIL ont également permis de mettre en évidence d’autres manquements retenus dans la décision de sanction.

Elle a ainsi constaté un manquement à l’obligation d’information des personnes : la charte de protection des données personnelles qui figurait sur le site web de la société ne précisait pas la base légale correspondant à chaque cas d’usage des données et était imprécise sur les durées de conservation (RGPD, art. 13). De plus, dans le premier courrier de prospection commerciale adressé par EDF aux personnes, la source des données n’était pas indiquée de façon suffisamment précise. EDF écrivait seulement que les « données ont été collectées auprès d’un organisme spécialisé dans l’enrichissement de données », sans indiquer précisément d’où provenaient les données (RGPD, art. 14).

La CNIL a également mis en évidence un manquement aux obligations relatives aux modalités d’exercice des droits (RGPD, art. 12) : la société n’a notamment pas répondu à certains plaignants dans le délai d’un mois prévu par les textes.

Par ailleurs, EDF a également manqué à l’obligation de respecter le droit d’accès aux données (RGPD, art. 15) et au droit d’opposition des personnes concernées (RGPD, art. 21). La société a donné des informations inexactes sur la source des données collectées et n’a pas pris en compte l’opposition à recevoir de la prospection commerciale.

Enfin, la formation restreinte a également retenu un manquement à l’obligation d’assurer la sécurité des données personnelles (RGPD, art. 32) puisque :

• les mots de passe d’accès à un espace client du portail de plus de 25 000 comptes étaient conservés de manière non sécurisée jusqu’à juillet 2022 ;

• les mots de passe d’accès à l’espace client EDF de plus de 2,4 millions de comptes étaient uniquement hachés, sans avoir été salés (ajout de caractères aléatoires avant le hachage, pour éviter de retrouver un mot de passe par comparaison de hachages), ce qui les exposait à des risques.

© Reproduction interdite, sauf autorisation écrite préalable