EDF sanctionné par la Cnil sur ses méthodes de création de bases de prospects

EDF devra régler une amende de 600 000 € à cause de ses méthodes de prospection commerciale et de non respect des droits des personnes, à la suite de contrôles de la Cnil. Comme souvent, ce sont des plaintes qui ont déclenché les contrôles de la Cnil. Des personnes ont fait part de leurs difficultés à faire prendre en compte leurs droits par le fournisseur d’électricité.

Plusieurs manquements au RGPD et au CPCE

La Cnil considère qu’EDF avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD) et le code des postes et des communications électroniques (CPCE). La coopération d’EDF lors de la procédure est saluée par la Cnil, ainsi que les mesures que l’entreprise a prises pour se mettre en conformité sur tous les manquements qui lui étaient reprochés.

Il est reproché à EDF d’avoir manqué à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (articles L. 34-5 du CPCE et 7 du RGPD). Entre 2020 et 2021, EDF a réalisé une campagne de prospection commerciale par voie électronique. Cependant, l’entreprise n’a pas été en mesure de démontrer à la Cnil qu’elle avait obtenu au préalable un consentement valable des personnes.

Lors des contrôles, EDF a fourni à la Cnil deux exemples de formulaires de collecte de données des prospects mis à sa disposition par un courtier en données (« data broker » en anglais). EDF n’a cependant pas été en mesure de communiquer à la Cnil la liste des partenaires destinataires des données, alors qu’une telle liste doit être tenue à la disposition des personnes au moment de donner leur consentement.

EDF contrôlait insuffisamment ses fournisseurs de données

Enfin, les mesures d’EDF auprès de ses courtiers en données étaient insuffisantes pour s’assurer que le consentement des personnes a été valablement donné avant d’être démarchées, selon la Cnil.  EDF a reconnu auprès de la Cnil qu’à la date des contrôles, il n’exerçait aucune vérification sur les formulaires de recueil du consentement utilisés et qu’il ne réalisait pas d’audits sur les courtiers en données.

Par ailleurs, il est reproché à EDF des manquements à l’obligation d’information des personnes (articles 13 et 14 du RGPD) et au respect de l’exercice de leurs droits (articles 12, 15 et 21 du RGPD). La Cnil déclare avoir mis en évidence d’autres manquements. EDF a manqué à l’obligation d’information des personnes.

La charte de protection des données personnelles qui figurait sur le site web de la société ne précisait pas la base légale correspondant à chaque cas d’usage des données. Cette charte était en outre imprécise sur les durées de conservation des données (article 13 du RGPD). Autre point, dans le premier courrier de prospection commerciale adressé par EDF aux personnes, la source des données n’était pas indiquée de façon suffisamment précise. EDF écrivait seulement que les « données ont été collectées auprès d’un organisme spécialisé dans l’enrichissement de données », sans indiquer précisément d’où provenaient les données (article 14 du RGPD).

EDF a donné des informations inexactes aux prospects sur la source des données

De plus,  EDF n’a pas répondu à certains plaignants dans le délai d’un mois prévu par les textes. Il s’agit d’un manquement aux obligations relatives aux modalités d’exercice des droits (article 12 du RGPD). Plus étonnant, EDF a donné des informations inexactes sur la source des données collectées et n’a pas pris en compte l’opposition des personnes à recevoir de la prospection commerciale. C’est un manquement à l’obligation de respecter le droit d’accès aux données (article 15 du RGPD) et le droit d’opposition des personnes concernées (article 21 du RGPD).

Dernier point, la Cnil estime que les mots de passe d’accès aux comptes étaient insuffisamment sécurisés. C’est un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD). Les mots de passe d’accès à l’espace client du portail « prime énergie » d’EDF de 25 000 comptes étaient conservés de manière non sécurisée jusqu’à juillet 2022.

Les mots de passe d’accès à l’espace client EDF de 2,4 millions de comptes clients étaient uniquement « hachés » (une série de caractères calculés à la place du mot de passe), sans avoir été « salés » (ajout de caractères aléatoires avant le hachage, pour éviter de retrouver un mot de passe par comparaison de hachages), ce qui les exposait à des risques.