Le 24 novembre 2022, la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé une sanction de 600 000 euros à l’égard d’EDF pour non-respect des obligations en matière de prospection commerciale et droits des personnes face à leurs données.
EDF, une société énergétique dont l’activité implique la collecte de données
EDF est le fournisseur historique d’électricité en France en termes de production, de transport et de fourniture. Né en 1946, il est détenu à plus de 80% par l’État et compte, dans ses bases de données, près de 26 millions de clients particuliers.
A ce titre, dans le cadre de ses activités, la société est amenée à collecter plusieurs données personnelles :
– Les données permettant d’identifier le client ainsi que son logement et le contacter (noms, prénoms, adresse postale et mail, numéro de téléphone…) ;
– Les données relatives à la gestion de la relation contractuelle (numéro de compte, modalités de paiement, informations relatives aux échanges avec le service, factures, espace client…) ;
– Les données de consommation énergétique (habitudes de vie) ;
– Les données financières (coordonnées bancaires, moyens de paiement, aides sociales…) ;
– Les données juridiques (information sur une éventuelle protection par la tutelle ou curatelle).
Pour justifier ses traitements, EDF s’appuie sur diverses bases légales qu’il mentionne sur son site. En premier lieu, la loi (LIL) et le RGPD réglementent la liberté de traitement des données personnelles. Puis, l’exécution du contrat nécessite et justifie la collecte de données. De plus, l’intérêt légitime établit un équilibre entre les objectifs poursuivis par EDF et les droits des personnes dont les données sont collectées. Enfin, les clients donnent leur consentement à la collecte de manière expresse par le biais d’une case à cocher avec la possibilité de le retirer à tout moment. EDF assure donc être en conformité au RGPD et à la LIL, les traitements variant en fonction des différentes interactions et de la catégorie de clients concernée.
Une sanction justifiée par divers manquements
Entre août 2019 et décembre 2020, plusieurs plaintes ont été adressées à la CNIL à l’encontre d’EDF pour non-respect des droits des personnes sur leurs données personnelles. Dans le cadre de ses contrôles, la Commission a constaté que la société avait commis plusieurs manquements aux obligations prévues par le RGPD et le CPCE (Code des Postes et des Communications Electroniques). Par conséquent, elle a sanctionné EDF d’une amende de 600 000 euros, prenant malgré tout en compte les mesures que la société a prises pour tenter de corriger les divers manquements, à défaut de quoi la sanction aurait été plus importante.
Dans un premier temps, le 15 février 2021, un contrôle en ligne a été réalisé sur le site web d’EDF. A son issue, un procès-verbal n°2021-021-1 a été adressé à la société deux jours plus tard.
Un contrôle sur pièce a également été effectué avec l’envoi d’un questionnaire le 25 mars 2021 auquel EDF a répondu un mois après. En réaction, deux demandes d’informations complémentaires lui ont été adressées durant l’été 2021 auxquelles la société a de nouveau répondu.
Le 23 juin 2022, un rapport a alors été notifié à EDF par Valérie PEUGEOT, rapporteure désignée par la présidente de la CNIL, recensant tous les manquements au RGPD et au CPCE et proposant la prononciation d’une amende administrative publique et d’une injonction de se mettre en conformité.
Ainsi, sur le fondement des constatations effectuées au cours de deux contrôles, la formation restreinte de la CNIL a prononcé une sanction de 600 000 euros à l’encontre d’EDF pour avoir manqué à quatre obligations prévues par le RGPD et le CPCE : le respect du consentement, les droits des personnes, l’information et la sécurité.
Sur le manquement à l’obligation de récolter le consentement quant à la réception électronique de prospection commerciale : articles 7 du RGPD et L34-5 du CPCE
La rapporteure a souligné qu’EDF exerce des activités de prospection commerciale pour lesquelles il ne peut rapporter la preuve d’un consentement explicite exprimé par les personnes dont les données font l’objet d’un traitement. Or, l’article 7 §1 du RGPD affirme clairement que le responsable de traitement doit être en mesure de « démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant » exprimé « par une déclaration ou par un acte positif clair » (article 4 §11). Dans cet objectif, les personnes doivent être informées de l’identité du prospecteur et des finalités du traitement.
Concernant la prospection commerciale spécifiquement, l’article L.34-5 du CPCE rappelle d’ailleurs qu’« est interdite la prospection directe au moyen de système automatisé de communications électroniques […] utilisant les coordonnées d’une personne physique […] qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen ».
Il a été relevé à l’occasion de l’enquête que la société menait des activités de prospection commerciale entre 2020 et janvier 2021 pour lesquelles les mesures mises en place pour assurer que le consentement a été valablement donné étaient insuffisantes. En effet, l’organisme se doit de recueillir le consentement préalablement à la mise en œuvre d’actes de prospection. Or, EDF était dans l’impossibilité de communiquer des « pièces démontrant l’obtention d’un tel consentement ».
Cependant, au cours de la procédure, EDF a tenté de rectifier ce manquement en supprimant les données déjà collectées à l’occasion des campagnes précédentes pour lesquelles le consentement à la prospection n’avait pas été suffisamment explicite.
Sur le manquement au respect des droits des personnes (articles 12, 15 et 21 du RGPD) et notamment à l’obligation d’informations sur la collecte (articles 13 et 14)
L’article 12 du RGPD consacre une obligation de transparence impliquant pour le responsable de traitement de prendre « des mesures appropriées […] pour procéder à toute communication […] en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible ». La CNIL a considéré qu’EDF a manqué à son obligation du fait de l’« absence de réponse dans le délai imparti [ou] une mauvaise qualité de réponse » suite à la saisine de plusieurs clients.
De plus, chaque personne dont les données sont collectées a un droit d’accès permettant d’obtenir du responsable de traitement « l’accès aux données à caractère personnel la concernant » (article 15 du RGPD) et en complément un droit d’opposition lorsque le traitement poursuit des fins de prospection (article 21 du RGPD). Sur le droit d’accès et d’opposition, la CNIL a considéré que la société a donné des informations inexactes sur la source des données collectées et n’a pas pris en compte l’opposition à recevoir de la prospection commerciale.
La CNIL a cependant relevé qu’EDF a amélioré sa procédure de gestion des demandes d’effacement.
Focus : L’obligation d’informations – défaut d’exhaustivité
Le Chapitre III du RGPD est consacré aux droits de la personne concernée par le traitement. A ce titre, la section 2 relative aux informations devant être communiquées lors de la collecte, comporte les chapitres 13 à 15 du RGPD et notamment l’article 13 qui dresse la liste des informations à fournir lorsque des données personnelles sont collectées. Mais aussi, l’article 14 indique spécifiquement les informations devant être communiquées par le responsable de traitement quand la collecte est faite par une personne autre que lui. On y trouve notamment les informations sur le responsable de traitement, les finalités poursuivies, l’intérêt légitime, les catégories de données et en plus, les informations nécessaires pour garantir un traitement équitable et transparent.
Sur le manquement à l’article 13, la CNIL affirme que ni la base légale ni les durées de conservation indiquées dans la charte protection des données personnelles d’EDF n’étaient suffisantes. En effet, elle contenait des informations pour d’autres finalités que la prospection et ne comprenait pas de base légale pour chaque finalité. De plus, l’information sur les durées de conservation était vague et imprécise : « Nous ne conservons vos données que pendant la durée nécessaire à leur traitement selon la finalité qui a été fixée ».
La CNIL a cependant relevé que la société a désormais détaillé dans sa charte de protection des données les bases légales et les durées de conservation corrigeant ainsi le manquement.
Enfin, elle constate un manquement à l’article 14, en ce qu’EDF n’a pas informé les personnes de l’identité de la société auprès de laquelle il a obtenu les données à caractère personnel. En effet, la seule mention « organisme spécialisé dans l’enrichissement de données » ne garantissait pas de traitement équitable et transparent.
En revanche, EDF a remédié au manquement en modifiant « les conditions d’information figurant dans les courriers de prospection, afin d’y faire apparaître le nom du courtier en données concerné ».
Sur le manquement à l’obligation de garantir la sécurité des données lors du traitement (article 32 du RGPD)
L’article 32 du RGPD oblige à ce que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». A cet égard la CNIL a retenu un manquement sur deux aspects.
1) Sur la fonction de hachage des mots de passe du portail ” prime énergie “
La CNIL considère en l’espèce que « La mise en place d’une politique d’authentification robuste constitue une mesure élémentaire de sécurité qui participe généralement au respect des obligations de l’article 32 du RGPD ». A ce titre, le mot de passe permettant à une personne de s’authentifier doit reposer sur un système suffisamment sécurisé pour ne pas être divulgué au point que la sécurité de sa conservation constitue une précaution fondamentale pour la protection des données.
Or, pour le cas d’EDF, les mots de passe de plus de 25 000 comptes d’accès à l’espace client étaient conservés de manière non sécurisée jusqu’à juillet 2022 par la fonction de hachage MD5, algorithme techniquement dépassé, insuffisant pour garantir la sécurité des mots de passe car il « permettrait à une personne ayant connaissance du mot de passe haché de déchiffrer celui-ci sans difficulté ».
2) Sur la fonction de hachage des mots de passe à l’espace client EDF : www.particuliers.edf.fr
La sécurité des données implique de « faire intervenir un sel aléatoire pour la transformation des mots de passe ». D’ailleurs, l’ANSSI recommande « d’utiliser un sel choisi aléatoirement […] et d’une longueur d’au moins 128 bits ».
Mais 2.4 millions de mots de passe d’accès de la société étaient stockés par la fonction SHA-1 sous forme hachée et salée « réputée obsolète » les exposant ainsi à de sérieux risques. En effet, elle n’a pas eu recours systématiquement à un sel dans la transformation des mots de passe ce qui a provoqué une faille de sécurité des données collectées des clients.
La formation restreinte a pu néanmoins relever sur ces deux points relatifs à la sécurité, EDF a adopté des mesures pour se mettre en conformité avec les obligations imposées par l’article 32.
Sources
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046650733?isSuggest=true : Délibération SAN-2022-021
https://www.cnil.fr/fr/prospection-commerciale-et-droits-des-personnes-sanction-de-600-000-euros-lencontre-dedf
https://www.cnil.fr/fr/les-bases-legales
https://www.edf.fr/donnees-personnelles
https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique