Prospection commerciale : la CNIL sanctionne EDF

Dans une délibération SAN-2022-021 du 24 novembre 2022, la CNIL a sanctionné la société EDF d’une amende de 600.000 €.

L’autorité a constaté plusieurs manquements aux dispositions du  Règlement 2016/679 du 27 avril 2016 (RGPD) de la part du fournisseur d’électricité.

En premier lieu, la CNIL sanctionne l’incapacité d’EDF à apporter la preuve du consentement des personnes concernées par ses campagnes de prospection commerciale. Ce consentement est obligatoire pour réaliser de telles opérations, en application de l’article L.34-5 du Code des Postes et des Communications Electroniques.

L’entreprise s’était procurée les données nécessaires à ces campagnes via un courtier en données, ou data broker. Or, EDF n’a pas jugé utile d’auditer ce courtier, et n’effectuait aucune vérification quant au recueil du consentement par ce dernier. EDF n’informait en outre pas les personnes concernées quant aux destinataires de leurs données (articles 6 et 7 du RGPD).

Par ailleurs, la CNIL critique vivement la charte de protection des données personnelles publiée par EDF sur son site web. Cette charte ne contient en effet pas d’informations quant à la base légale correspondant aux traitements de données. Concernant les durées de conservation des données, la simple mention « Nous ne conservons vos données que pendant la durée nécessaire à leur traitement selon la finalité qui a été fixée » est jugée trop imprécise pour satisfaire à l’obligation d’information incombant au responsable de traitement (article 13 du RGPD). La CNIL reproche également un manque de précision à EDF quant à la source des données utilisées aux fins de prospection, le premier e-mail adressé à ce titre contenant seulement la mention « les données ont été collectées auprès d’un organisme spécialisé dans l’enrichissement de données ».

EDF n’a en outre pas répondu à certains plaignants souhaitant exercer leurs droits dans le délai d’un mois prévu par l’article 12 du RGPD. Le droit d’accès aux données (article 15 du RGPD) et le droit d’opposition (article 21 du RGPD) n’étaient pas pris en compte.

Enfin, la CNIL constate un manquement flagrant d’EDF quant à la sécurité des données personnelles traitées par l’entreprise (article 32 du RGPD). L’autorité juge ainsi insuffisant le simple usage d’une fonction de hachage des mots de passe ; ces derniers auraient également dû faire l’objet d’un salage (ajout de caractères aléatoires avant le hachage, pour éviter de retrouver un mot de passe par comparaison de hachages).

Cette décision témoigne de la vigilance particulière dont doivent faire preuve les responsables de traitement quant à la sécurité de leurs données, ainsi que lors du recours aux services de data brokers, qui ne doivent pas être considérés comme un gage de conformité.

Le Pôle Contrats informatiques, Données et Conformité accompagne les responsables de traitement dans la définition et le suivi de leur politique de traitement des données personnelles, ainsi que dans la gestion des contentieux y-relatifs.

Pour toute question, n’hésitez pas à nous contacter.