La Cnil sanctionne la société EDF d’une amende de 600.000 €, notamment pour ne pas avoir respecté ses obligations en matière de consentement à recevoir de la prospection commerciale et de sécurisation des mots de passe.La Commission nationale de l'informatique et des libertés (Cnil) a reçu plusieurs plaintes concernant les difficultés rencontrées par des personnes dans la prise en compte de leurs droits par la société EDF, premier fournisseur d’électricité en France.
Les contrôles effectués sur place ont permis de constater plusieurs types de manquements justifiant le prononcé d'une amende de 600.000 € rendue publique, décidée par une délibération SAN-2022-021 du 24 novembre 2022.
1) Un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique
Dans le cadre d'une campagne de prospection commerciale par voie électronique réalisée en 2020 et 2021, EDF n’a pas été en mesure de démontrer à la Cnil qu’elle avait obtenu au préalable un consentement valable des personnes, ni de lui communiquer la liste des partenaires destinataires des données, alors qu’une telle liste doit être tenue à la disposition des personnes au moment de donner leur consentement. Enfin, la Cnil a jugé insuffisantes les mesures mises en place par EDF auprès de ses courtiers en données pour s’assurer que le consentement a été valablement donné par les personnes avant d’être démarchées.
2) Des manquements à l’obligation d’information et au respect de l’exercice des droits :
- un manquement à l’obligation d’information des personnes, notamment s'agissant de la base légale correspondant à chaque cas d’usage des données et sur les durées de conservation dans la charte de protection des données personnelles figurant sur le site web de la société ; - un manquement aux obligations relatives aux modalités d’exercice des droits : la société n’a notamment pas répondu à certains plaignants dans le délai d’un mois prévu par les textes.- un manquement à l’obligation de respecter le droit d’accès aux données et le droit d’opposition des personnes concernées : la société a donné des informations inexactes sur la source des données collectées et n’a pas pris en compte l’opposition à recevoir de la prospection commerciale.
3) Un manquement à l’obligation d’assurer la sécurité des données personnelles
Les mots de passe d’accès à l’espace client du portail "prime énergie" de plus de 25.000 comptes étaient conservés de manière non sécurisée jusqu’à juillet 2022, tandis que ceux permettant l’accès à l’espace client EDF de plus de 2,4 millions comptes étaient uniquement hachés (une série de caractères calculés à la place du mot de passe), sans avoir été salés (ajout de caractères aléatoires avant le hachage, pour éviter de retrouver un mot de passe par comparaison de hachages), ce qui les exposait à des risques.
