EDF devra régler une amende de 600 000 € à cause de ses méthodes de prospection commerciale et de non respect des droits des personnes, à la suite de contrôles de la Cnil. Comme souvent, ce sont des plaintes qui ont déclenché les contrôles de la Cnil. Des personnes ont fait part de leurs difficultés à faire prendre en compte leurs droits par le fournisseur d’électricité.
Plusieurs manquements au RGPD et au CPCE
La Cnil considère qu’EDF avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD) et le code des postes et des communications électroniques (CPCE). La coopération d’EDF lors de la procédure est saluée par la Cnil, ainsi que les mesures que l’entreprise a prises pour se mettre en conformité sur tous les manquements qui lui étaient reprochés.
EDF n’a pas été en mesure de démontrer qu’il avait obtenu un consentement valable des personnes
Lors des contrôles, EDF a fourni à la Cnil deux exemples de formulaires de collecte de données des prospects mis à sa disposition par un courtier en données (« data broker » en anglais). EDF n’a cependant pas été en mesure de communiquer à la Cnil la liste des partenaires destinataires des données, alors qu’une telle liste doit être tenue à la disposition des personnes au moment de donner leur consentement.
EDF contrôlait insuffisamment ses fournisseurs de données
Enfin, les mesures d’EDF auprès de ses courtiers en données étaient insuffisantes pour s’assurer que le consentement des personnes a été valablement donné avant d’être démarchées, selon la Cnil. EDF a reconnu auprès de la Cnil qu’à la date des contrôles, il n’exerçait aucune vérification sur les formulaires de recueil du consentement utilisés et qu’il ne réalisait pas d’audits sur les courtiers en données.
EDF a manqué à l’obligation d’information des personnes
La charte de protection des données personnelles qui figurait sur le site web de la société ne précisait pas la base légale correspondant à chaque cas d’usage des données. Cette charte était en outre imprécise sur les durées de conservation des données (article 13 du RGPD). Autre point, dans le premier courrier de prospection commerciale adressé par EDF aux personnes, la source des données n’était pas indiquée de façon suffisamment précise. EDF écrivait seulement que les « données ont été collectées auprès d’un organisme spécialisé dans l’enrichissement de données », sans indiquer précisément d’où provenaient les données (article 14 du RGPD).
EDF a donné des informations inexactes aux prospects sur la source des données
De plus, EDF n’a pas répondu à certains plaignants dans le délai d’un mois prévu par les textes. Il s’agit d’un manquement aux obligations relatives aux modalités d’exercice des droits (article 12 du RGPD). Plus étonnant, EDF a donné des informations inexactes sur la source des données collectées et n’a pas pris en compte l’opposition des personnes à recevoir de la prospection commerciale. C’est un manquement à l’obligation de respecter le droit d’accès aux données (article 15 du RGPD) et le droit d’opposition des personnes concernées (article 21 du RGPD).
Les mots de passe d’accès aux comptes étaient insuffisamment sécurisés
Les mots de passe d’accès à l’espace client EDF de 2,4 millions de comptes clients étaient uniquement « hachés » (une série de caractères calculés à la place du mot de passe), sans avoir été « salés » (ajout de caractères aléatoires avant le hachage, pour éviter de retrouver un mot de passe par comparaison de hachages), ce qui les exposait à des risques.