La Commission nationale de l’informatique et des libertés (CNIL), l’autorité chargée de la protection des données personnelles en France, a annoncé, le 26 novembre, une sanction à l’encontre d’EDF. Le premier producteur et fournisseur d’électricité en France est accusé d’avoir manqué, à plusieurs reprises, aux obligations fixées par le règlement général sur la protection des données (RGPD) et le code des postes et des communications électroniques (CPCE). EDF doit s’acquitter d’une amende de 600 000 euros.

Des démarches commerciales non consenties

Parmi les faits reprochés à EDF se trouve un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique, en accord avec les articles L. 34-5 du CPCE et 7 du RGPD. Le géant de l’énergie n’est pas parvenu à démontrer à la CNIL qu’il avait obtenu l’approbation des personnes interrogées lors de sa campagne de prospection commerciale par voie électronique entre 2020 et 2021. Il a lui-même reconnu qu’il n’y avait eu aucune vérification sur les formulaires de recueil de consentement.

La CNIL note dans son communiqué que « lors des contrôles, [EDF] a fourni deux exemples de formulaire type de collecte de données des prospects mis à sa disposition par un courtier en données, mais n’a pas été en mesure de communiquer la liste des partenaires destinataires des données ». La Commission souligne « qu’une telle liste doit être tenue à la disposition des personnes au moment de donner leur consentement ».

EDF a fait la sourde oreille

EDF est également interpellé sur ses manquements à l’obligation d’information, en accord avec les articles 13 et 14 du RGPD, et au respect de l’exercice des droits, articles 12, 15 et 21 du RGPD. La CNIL indique que l’entreprise basée à Paris n’a pas rempli son obligation d’information des personnes. Elle précise que « la charte de protection des données personnelles qui figurait sur le site web de la société ne précisait pas la base légale correspondant à chaque cas d’usage des données et était imprécise sur les durées de conservation ».

De plus, EDF a dérogé à ses obligations relatives aux modalités d’exercice des droits, articles 12 du RGPD, en ne répondant pas à certains plaignants dans le délai d’un mois imposé par les textes ; au respect du droit d’accès aux données, article 15 du RGPD, en fournissant des informations inexactes sur la source des données collectées ; et au droit d’opposition des personnes ciblées par la prospection commerciale, en accord avec l’article 21 du RGPD.

Une protection trop faible

Enfin, la CNIL a estimé qu'EDF ne respectait pas les exigences, selon l’article 32 du RGPD, en matière de sécurité des données personnelles. Lors de ses opérations de contrôle, la CNIL a découvert que « les mots de passe d’accès à l’espace client du portail “prime énergie” de plus de 25 000 comptes étaient conservés de manière non sécurisée jusqu’à juillet 2022 ».

La CNIL salue tout de même la coopération d’EDF « et l’ensemble des mesures qu’elle a prises pour se mettre en conformité des manquements qui lui étaient reprochés ».