Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs EDF, 24 Novembre 2022

Résumé des faits

Après avoir reçu plusieurs plaintes au sujet des difficultés rencontrées par des personnes concernant l’exercice de leurs droits, la CNIL a effectué un contrôle et a constaté des manquements à plusieurs obligations du RGPD et du CPCE.

Elle a ainsi sanctionné la société par une amende publique de 600 000 euros pour non-respect des règles concernant le consentement, l’information des personnes concernées, et la sécurité des données personnelles.

Motifs de la sanction / Manquements

  • Non-respect des art. L.34-5 du CPCE et 7 du RGPD

Aucun recueil du consentement pour l’envoi de communications commerciales par voie électronique, les mesures mises en place auprès des courtiers pour s’assurer que le consentement a été valablement recueilli préalablement au démarchage étant insuffisantes ;

  • Non-respect des art. 13 et 14 du RGPD

Mentions d’information non-exhaustives, la charte de protection des données personnelles du site web ne mentionnant pas l’ensemble des informations exigées et le premier courrier de prospection commerciale n’indiquant pas la source des données de façon précise ;

  • Non-respect de l’art.12 du RGPD

Absence de traitement des demandes des droits des personnes dans les délais ;

  • Non-respect des art. 15 et 21 du RGPD

Absence de respect des exigences sur le droit d’accès aux données et le droit d’opposition, les informations sur la source des données n’étant pas exactes et l’opposition à recevoir de la prospection commerciale n’ayant pas été prise en compte ;

  • Non-respect de l’art. 32 du RGPD

Absence de respect des exigences sur la sécurité des données personnelles, les mots de passe d’accès à l’espace client du portail «prime énergie» ayant été conservés de manière non sécurisés et les mots de passe d’accès à l’espace client EDF ayant été uniquement hachés sans avoir été salés en ajoutant des caractères aléatoires avant le hachage.

Que retenir de la décision ?

  • Lorsque les données des prospects n’ont pas été collectées de manière directe par l’organisme qui effectue la prospection, ce dernier doit recueillir le consentement
    avant toute prospection dans le cas où le consentement n’a pas été recueilli pour son compte au moment de la collecte initiale des données.
  • Les informations à transmettre aux personnes concernées doivent être mises à leur disposition au moment du recueil du consentement, directement sur le support de la collecte ou via un lien hypertexte pointant sur la liste des informations liées aux traitements du prospecteur même et sur les politiques de confidentialité des prestataires et fournisseurs.
  • Dans le cas où le recueil du consentement est effectué par les courtiers en données, l’organisme doit s’assurer de sa collecte effective, en exerçant un contrôle sur les formulaires de recueil utilisés et en auditant les partenaires.
  • Le responsable de traitement ne peut se contenter de préciser que les données personnelles seront conservées le temps nécessaire pour atteindre la finalité et les éléments fournis à la personne concernée doivent lui permettre d’avoir connaissance de la durée de conservation ou au moins d’évaluer cette période.
  • Une mention d’information générale telle que celle précisant que les données ont été collectées auprès d’un « organisme spécialisé dans l’enrichissement de données », ne permet pas de se conformer à l’exigence d’information sur la source de la donnée.
  • Le droit d’obtenir toute information relative à la source des données de l’article 15, 1, g) du RGPD est distinct de l’obligation d’information de l’article 14 du RGPD, et ne contribue pas au respect effectif de cette obligation en cas d’absence de certaines informations.
  • La conservation des mots de passe de manière sécurisée constitue une précaution élémentaire en matière de protection des données personnelles.
  • Les mots de passe ne doivent jamais être stockés en clair, mais sous une forme transformée par une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé.
  • La transformation des mots de passe doit faire intervenir un sel aléatoire pour empêcher les attaques.
  • Le recours à la fonction de hachageMD5 lors du stockage des données n’est pas considéré comme à l’état de l’art.

Le + DLD

  • La CNIL prend en compte pour le prononcé d’une amende non seulement la nature, la gravité, la durée de la violation, les mesures prises pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données personnelles concernées par la violation, mais également les ressources à disposition de la société lui permettant de traiter des questions sur la protection des données personnelles.
  • Pour décider de la publication ou pas de la sanction, la CNIL tient compte de la nature et du nombre de manquements, ainsi que du nombre de personnes concernées par ces manquements.

Délibération Complète de la CNIL

Consulter

À lire aussi