Infraction au RGPD : Le régulateur sanctionne EDF
EDF sanctionnée par la CNIL à une amende de 600 000 euros pour ne pas avoir respecté ses obligations en matière de prospection commerciale.
La société EDF est le premier fournisseur d’électricité de France. Suite à plusieurs plaintes concernant les difficultés rencontrées par des clients dans la prise en charge de leurs droits, la CNIL a effectué plusieurs contrôles et a constaté qu’EDF a manqué à ses obligations issues tant du RGPD, que du Code des postes et communications électroniques.
Les manquements sanctionnés sont les suivants :
Le manquement à l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de prospection commerciale par voie électronique
L’article 7, paragraphe 1, du RGPD, énonce que « Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ». La CNIL observe qu’EDF n’apporte pas la preuve d’un consentement valable exprimé par les prospects avant d’être démarchés.
L’autorité relève de plus qu’EDF fait appel à un courtier en données personnelles pour recueillir les consentements. Or, la société n’exerce aucun contrôle sur les formulaires de consentements utilisés en méconnaissance de la disposition visée. La CNIL souligne ainsi que les mesures mises en place par la société EDF auprès de ses courtiers en données pour s’assurer que le consentement a été valablement donné par les personnes avant d’être démarchées étaient insuffisantes.
Le manquement à l’obligation d’information des personnes
Par ailleurs, la CNIL relève qu’au moment du contrôle effectué, la base légale de chacune des finalités poursuivies n’était pas précisée et les durées de conservation des données n’étaient pas établies de manière suffisamment précise, en méconnaissance de l’article 13 du RGPD.
De plus, le courrier adressé aux prospects indiquait seulement que leurs données étaient « collectées auprès d’un organisme spécialisé » ce qui n’est pas suffisamment précis au regard des exigences de l’article 14 du RGPD.
Le manquement à l’obligation de transparence
La CNIL note que la société reconnaît une erreur d’orientation des demandes des plaignants ayant entraîné soit une absence de réponse dans le délai imparti, soit une mauvaise qualité de réponse. Cela est propre à caractériser un manquement à l’article du 12 du RGPD. LA CNIL relève ainsi qu’EDF n’a pas apporté de réponse par écrit, a donné au plaignant des informations erronées en réponse à sa saisine et n’a pas traité ces demandes d’exercice de droits dans le délai imparti.
Manquement à l’obligation d’assurer le droit d’accès
L’article 15 du RGPD impose au responsable de traitement de fournir à la personne concernée les informations relatives au traitement de ses données lorsque celle-ci en fait la demande.
La CNIL avait fait l’objet de deux saisines faisant suite à deux demandes de droit d’accès. EDF a répondu à la première par une information erronée sur la source des données collectées de sorte que l’autorité considère que la société a commis un manquement à l’article 15 du RGPD.
Concernant la deuxième demande de droit d’accès, l’autorité ne retient aucun manquement à l’article 15 dès lors que les informations fournies à la demandeuse étaient exactes.
Le manquement à l’obligation de respecter le droit d’opposition
EDF a également méconnu ses obligations au titre de l’article 21 du RGPD dès lors que la société n’a pas pris en compte l’opposition du plaignant au traitement des données à caractère personnel de son fils mineur à des fins de prospection commerciale.
Le manquement à l’obligation d’assurer la sécurité des données
L’article 32 du RGPD dispose « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Or, la formation restreinte constate que, jusqu’à juillet 2022, les mots de passe de plus de 25 800 comptes étaient conservés de manière non sécurisée. Elle en conclut que la société a manqué aux obligations qui lui incombent au titre de cette disposition.
Sanction. Au vu de ces éléments la formation restreinte prononce une amende administrative de 600 000 euros à l’encontre d’EDF, étant précisé que le montant de cette sanction prend en compte les efforts réalisés par la société pour se mettre en conformité tout au long de la procédure.
Pour en savoir plus :
