Dans une délibération en date du 24 novembre 2022 [1], la CNIL a prononcé une sanction d’un montant de 600 000 euros à l’encontre de la société ÉLECTRICITÉ DE FRANCE (ci-après « EDF »), notamment pour avoir manqué à plusieurs obligations du RGPD.
Le groupe EDF, lequel comprend la société-mère EDF et ses filiales, est principalement actif en France et à l’étranger sur les marchés de l’électricité et, en particulier, dans la production d’électricité (nucléaire, renouvelable et fossile) et la vente en gros, le négoce, le transport, la distribution et la fourniture d’électricité. Le groupe EDF est également présent sur les marchés du gaz et des services énergétiques, ainsi que dans la construction, l’exploitation et la maintenance de centrales électriques et de réseaux électriques et fournit des services de recyclage des déchets et des services énergétiques.
Dans le cadre des services fournis par la société, des données à caractère personnel de ses clients et de ses prospects sont traitées. La CNIL a été saisie de plusieurs plaintes à l’encontre de la société EDF, portant sur l’exercice des droits entre août 2019 et décembre 2020.
Un contrôle en ligne a été effectué sur le site web « www.edf.fr » le 15 février 2021 ainsi qu’un contrôle sur pièces réalisé via l’envoi d’un questionnaire à la société le 25 mars 2021, auquel la société a répondu le 29 avril 2021.
Le 23 juin 2022, la CNIL a fait notifier à la société un rapport détaillant les manquements au RGPD.
La formation restreinte de la CNIL a retenu plusieurs manquements à l’encontre d’EDF :
Il convient de souligner qu’en cours de procédure, la société EDF s’est mise en conformité en adoptant toutes les mesures correctrices nécessaires pour pallier les manquements susmentionnés.
[1] Délibération de la formation restreinte n°SAN-2022-021 du 24 novembre 2022 concernant la société ÉLECTRICITÉ DE FRANCE