Blog Données personnelles

La CNIL prononce une sanction de 600 000 euros à l’encontre d’EDF

Dans une délibération en date du 24 novembre 2022 [1], la CNIL a prononcé une sanction d’un montant de 600 000 euros à l’encontre de la société ÉLECTRICITÉ DE FRANCE (ci-après « EDF »), notamment pour avoir manqué à plusieurs obligations du RGPD.

I. Les faits et la procédure

Le groupe EDF, lequel comprend la société-mère EDF et ses filiales, est principalement actif en France et à l’étranger sur les marchés de l’électricité et, en particulier, dans la production d’électricité (nucléaire, renouvelable et fossile) et la vente en gros, le négoce, le transport, la distribution et la fourniture d’électricité. Le groupe EDF est également présent sur les marchés du gaz et des services énergétiques, ainsi que dans la construction, l’exploitation et la maintenance de centrales électriques et de réseaux électriques et fournit des services de recyclage des déchets et des services énergétiques.

Dans le cadre des services fournis par la société, des données à caractère personnel de ses clients et de ses prospects sont traitées. La CNIL a été saisie de plusieurs plaintes à l’encontre de la société EDF, portant sur l’exercice des droits entre août 2019 et décembre 2020.

Un contrôle en ligne a été effectué sur le site web « www.edf.fr » le 15 février 2021 ainsi qu’un contrôle sur pièces réalisé via l’envoi d’un questionnaire à la société le 25 mars 2021, auquel la société a répondu le 29 avril 2021.

Le 23 juin 2022, la CNIL a fait notifier à la société un rapport détaillant les manquements au RGPD.

II. Les motifs de la décision

La formation restreinte de la CNIL a retenu plusieurs manquements à l’encontre d’EDF :

  • un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (articles L. 34-5 du CPCE et 7 du RGPD), car EDF, qui a réalisé des opérations de prospection commerciale par voie électronique entre 2020 et 2021, n’était pas en mesure de disposer et d’apporter la preuve d’un consentement valablement exprimé par les prospects, dont les données proviennent de courtiers en données, avant d’être démarchés.
    Lors des contrôles, la société a fourni à la CNIL deux exemples de formulaire type de collecte de données des prospects mis à sa disposition par un courtier en données. Néanmoins, elle n’a pas été en mesure de communiquer à la CNIL la liste des partenaires destinataires des données, alors qu’une telle liste doit être tenue à la disposition des personnes au moment de donner leur consentement.
    La formation restreinte considère dès lors que les mesures mises en place par EDF pour s’assurer auprès de ses partenaires que le consentement a été valablement donné par les prospects avant d’être démarchés étaient insuffisantes.
  • un manquement à l’obligation d’information (articles 13 et 14 du RGPD). En effet, la CNIL a d’une part retenu un manquement à l’article 13 du RGPD dans la mesure où la base légale n’était pas mentionnée et les durées de conservation des données n’étaient pas développées de manière suffisamment précise dans la « charte de protection des données personnelles » figurant sur le site web d’EDF.
    D’autre part, la CNIL a relevé un manquement à l’article 14 du RGPD, les personnes démarchées par voie postale par la société n’ayant pas été informées de la source précise de leurs données à caractère personnel, à savoir l’identité de la société auprès de laquelle EDF les avait obtenues.
  • un manquement au respect de l’exercice des droits (articles 12, 15 et 21 du RGPD), puisque EDF n’a pas répondu à certains plaignants dans le délai d’un mois prévu par les textes (article 12), que la société a donné des informations inexactes sur la source des données collectées (article 15) et qu’elle n’a pas pris en compte l’opposition à recevoir de la prospection commerciale (article 21).
  • un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD). En effet, la formation restreinte a, d’une part, relevé que les mots de passe d’accès à l’espace client du portail « prime énergie » de plus de 25 000 comptes étaient conservés de manière non sécurisée jusqu’à juillet 2022 et d’autre part que les mots de passe d’accès à l’espace client EDF de plus de 2,4 millions comptes étaient uniquement hachés (une série de caractères calculés à la place du mot de passe), sans avoir été salés (ajout de caractères aléatoires avant le hachage, pour éviter de retrouver un mot de passe par comparaison de hachages), ce qui les exposait à des risques.

Il convient de souligner qu’en cours de procédure, la société EDF s’est mise en conformité en adoptant toutes les mesures correctrices nécessaires pour pallier les manquements susmentionnés.

[1Délibération de la formation restreinte n°SAN-2022-021 du 24 novembre 2022 concernant la société ÉLECTRICITÉ DE FRANCE