Les méthodes de prospection commerciale du fournisseur d’électricité ont provoqué l’ire de la Cnil, qui inflige à EDF une amende de 600 000 euros au titre de multiples manquements au RGPD.
Après avoir été saisi de plusieurs plaintes, la Cnil a procédé l’an dernier à plusieurs contrôles auprès d’EDF. En cause, les difficultés des plaignants à faire valoir leurs droits. A commencer par celui de ne pas être démarché par voie électronique sans avoir donné le moindre consentement. Ainsi, le régulateur a constaté que, entre 2020 et 2021, EDF a réalisé une campagne de prospection commerciale, sur la base de données mises à sa disposition par un data broker. Ce faisant, EDF n’a pas été en mesure de démontrer qu’elle avait obtenu le consentement des personnes démarchées, ni même de fournir à la Cnil la liste des partenaires destinataires des données.
Deux manquements à l’article 7 du RGPD, complétés par l’insuffisance des mesures prises par EDF pour contrôler la conformité de ses prestataires. « La société a reconnu qu’à la date des contrôles, elle n’exerçait aucune vérification sur les formulaires de recueil du consentement utilisés et qu’elle ne réalisait pas d’audits sur les courtiers en données » précise la Cnil.
Prospection sans consentement
Chemin faisant, le gendarme des données personnelles s’aperçoit également que non seulement le géant de l’énergie ne répond pas aux demandes d’exercice des droits des consommateurs dans les délais prévus par les textes, mais en plus qu’il ne respecte ni le droit d’accès aux données, ni le droit d’opposition. Le tout est assorti d’un manquement à l’obligation d’information des personnes, EDF ne précisant ni la base légale de l’usage des données, ni les durées de conservation, et se montrait imprécis quant aux sources de ces informations.
A enfin été observé un manquement à l’obligation d’assurer la sécurité des données personnelles. En effet, les mots de passe d’accès à l’espace client du portail « prime énergie » de plus de 25 000 comptes étaient conservés de manière non sécurisée jusqu’à juillet 2022, tandis que les mots de passe d’accès à l’espace client EDF de 2,4 millions de clients étaient simplement hachés.
Il en coûte 600 000 euros à la société, un montant prenant en compte la gravité des manquements, mais aussi les efforts consenti par EDF pour se mettre en conformité et pour coopérer avec la Cnil tout au long de la procédure.