Saisie de plusieurs plaintes à l’encontre d’EDF portant sur l’exercice des droits entre août 2019 et décembre 2020, la Commission nationale de l’informatique et des libertés (cf. la « Cnil ») a diligenté des contrôles en ligne et sur pièces auprès d’EDF.
Un rapport de sanction a été notifié à EDF par la rapporteure désignée par la Cnil et proposait à la formation restreinte de la Cnil de sanctionner EDF au titre de divers manquements à la réglementation applicable en matière de données à caractère personnel.
Par une délibération rendue le 24 novembre 2022 (voir également le communiqué de la Cnil sur cette décision), la formation restreinte de la Cnil a condamné EDF à une amende administrative de 600 000 € au titre des différents manquements présentés ci-après.
Manquements relatifs à l’obligation de recueillir le consentement de la personne concernée au traitement de ses données à des fins de prospection commerciale par courrier électronique
La Cnil relève que :
- EDF, qui a réalisé des campagnes de prospection commerciale par voie électronique, n’est pas en mesure d’apporter la preuve d’un consentement à être sollicités par ce moyen valablement exprimé par les prospects dont les données proviennent de courtiers en données ;
- et que le fait qu’un courtier en données produise le formulaire type (comportant une modalité de recueil du consentement), et non le formulaire rempli individuellement par chaque prospect, ne permet pas d’obtenir la preuve individuelle du consentement.
De telles pratiques constituent un manquement aux principes applicables en la matière visés à l’article L.34-5 du Code des postes et des communications électroniques (cet article imposant par principe le recueil préalable du consentement des destinataires de prospections par courrier électronique) et à l’article 7 du RGPD (cet article prévoyant notamment que « Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant »).
Ce qu’il faut en retenir :
La présente décision de la Cnil s’inscrit dans le programme de contrôle qu’elle avait annoncé pour 2022, la prospection commerciale faisant partie des thématiques considérées comme « prioritaires » pour la Cnil.
En outre, la position de la Cnil sur la démonstration du recueil préalable du consentement des personnes concernées à la réalisation d’opérations de prospection par courrier électronique est classique. En effet, l’insertion d’une clause « fournisseur de fichiers » dans les documents contractuels est recommandée en cas de collecte des données par l’intermédiaire d’un tiers, notamment un courtier en données (ou data broker). Pour mémoire, une telle clause vise à permettre au destinataire des fichiers de s’assurer auprès du tiers « fournisseur de fichiers » (et de se faire garantir contractuellement par ce dernier) que (i) la collecte des données à caractère personnel concernées a été effectuée de manière loyale et licite (information des personnes concernées, voire consentement le cas échéant en fonction des utilisations envisagées et des situations particulières pouvant être rencontrées, etc.) et que (ii) les données peuvent être licitement réutilisées par le destinataire des fichiers pour les finalités souhaitées (voir notre précédent article à ce sujet).
Pour autant, s’il s’agit d’une précaution opportune, elle ne suffit pas à démontrer que le consentement à la transmission des données à un tiers et à la réalisation d’opérations de prospection par courrier électronique par ce tiers a été dûment obtenu auprès des personnes concernées. En effet, l’organisme destinataire des données et souhaitant procéder à de telles opérations de prospection doit alors être en mesure de prouver qu’il dispose de ce consentement.
Pour mémoire, pour que le consentement soit éclairé, les personnes concernées doivent notamment être clairement informées de l’identité des organismes destinataires des données pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. Pour ce faire, la Cnil rappelle qu’ « une liste exhaustive et mise à jour doit être tenue à la disposition des personnes au moment du recueil de leur consentement, par exemple directement sur le support de collecte ou, si celle-ci est trop longue, via un lien hypertexte renvoyant vers ladite liste et les politiques de confidentialité » des destinataires des données.
La Cnil rappelle également que tout organisme souhaitant réutiliser des données collectées par des tiers (en l’espèce des courtiers en données) pour de telles finalités doivent mettre en place des mesures et process dédiés pour s’assurer que le consentement des personnes concernées a effectivement été obtenu, conformément aux exigences applicables (notamment au moyen d’audits), et pouvoir le démontrer, ce qui n’était pas le cas en l’espèce.
Manquements relatifs à l’obligation d’information des personnes concernées
La Cnil constate que la « charte de protection des données personnelles » qui figurait sur le site internet d’EDF était incomplète en ce qu’elle ne comportait pas, pour chaque traitement de données à caractère personnel mis en œuvre par EDF, la base légale correspondant à chaque finalité ainsi énumérée ou encore les durées de conservation des données.
Elle relève également que cette charte ne concernait en tout état de cause pas les traitements mis en œuvre par EDF dans le cadre de ses opérations de prospection. Les personnes concernées ainsi sollicitées par EDF dont les données avaient été collectées par des tiers (cf. courtiers en données) étaient tout de même informées du traitement de leurs données à caractère personnel dans le premier courrier de prospection commerciale qui leur était adressé par EDF. Toutefois, ce courrier précisait les données avaient été collectées auprès d’un « organisme spécialisé dans l’enrichissement de données », ce qui a été considéré comme insuffisamment précis par la Cnil et n’étant « pas de nature à “garantir un traitement équitable et transparent” à l’égard du prospect, en particulier dans un contexte de reventes successives de données entre de multiples acteurs et dans l’hypothèse où le prospect souhaiterait exercer ses droits auprès du courtier en données dont il ignore l’identité ».
Ce qu’il faut en retenir :
Une information complète doit être fournie aux personnes concernées, comportant l’ensemble des éléments prévus à l’article 13 du RGPD lorsque les données ont été collectées directement auprès des personnes concernées et à l’article 14 du RGPD en cas de collecte indirecte. Notamment, pour chaque finalité de traitement, il convient de mentionner l’ensemble des caractéristiques y afférentes (finalité, durée de conservation,…) et, en cas de collecte indirecte, en particulier en cas de « reventes successives » de fichiers comportant des données à caractère personnel, il convient de faire preuve de précisions quant à l’origine de la collecte.
Manquements relatifs à l’obligation de respecter les droits des personnes concernées
EDF a été saisie par deux plaignants concernant le traitement de leurs données à caractère personnel par cette dernière. S’agissant de la première réclamation en particulier, la Cnil relève qu’EDF n’y a pas répondu par écrit et que sa réponse était erronée. S’agissant ces deux réclamations, la Cnil constate qu’EDF n’a pas traité ces demandes d’exercice de droits dans le délai requis (cf. en principe dans un délai maximum d’un mois à compter de la réception de la demande, ce délai pouvant être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes). La Cnil estime ainsi qu’un manquement à l’article 12 du RGPD est constitué.
En outre, la Cnil relève qu’EDF a répondu de manière erronée à une personne ayant exercé son droit d’accès, en apportant une information erronée s’agissant de la source de collecte de ses données, ce qui constitue un manquant à l’article 15 du RGPD.
La Cnil considère également qu’en ne tenant pas compte d’une demande d’opposition effectuée par le parent d’un enfant mineur, EDF a manqué à ses obligations au titre de l’article 21 du RGPD.
Ce qu’il faut en retenir :
En cas de plainte émanant de personnes concernées, il convient de leur répondre par écrit et dans les délais impartis.
En outre, il convient d’élaborer et de déployer une procédure dédiée relative au traitement des demandes d’exercice de leurs droits par les personnes concernées et de s’assurer que celle-ci est effectivement respectée (en s’assurant notamment qu’il a effectivement été tenu compte de la demande de la personne concernée, par exemple en cas d’opposition à la réception ultérieure de messages de prospection).
Manquements relatifs à la sécurité des données à caractère personnel
Il est, enfin, reproché à EDF de ne pas avoir mis en œuvre les mesures nécessaires pour assurer la sécurité des données à caractère personnel, et en particulier de ne pas respecter les exigences applicables en matière de mots de passe.
En l’espèce, s’agissant des mots de passe du portail « prime énergie » d’EDF, la Cnil relève que la fonction de hachage MD5 a été utilisée jusqu’en 2022 pour plus de 25 800 comptes, alors qu’elle est considérée depuis 2004 comme obsolète et non conforme aux recommandations des autorités compétentes en la matière (qu’il s’agisse des recommandations de la Cnil ou de l’Anssi). La Cnil rappelle ainsi qu’il est « nécessaire de veiller à ce qu’un mot de passe permettant de s’authentifier sur un système ne puisse pas être divulgué. La conservation des mots de passe de manière sécurisée constitue une précaution élémentaire en matière de protection des données à caractère personnel ».
Par ailleurs, s’agissant des mots de passe permettant d’accéder à l’espace client EDF, la Cnil relève qu’ils étaient stockés sous forme hachée et salée au moyen de la fonction SHA-1, pourtant réputée obsolète, et qu’il n’était pas systématiquement utilisé un « sel » dans la transformation des mots de passe, ce qui constitue également un manquement aux exigences applicables en matière de sécurité des données à caractère personnel.
Ce qu’il faut retenir :
La fonction de hachage (fonction cryptographique visant à assurer la sécurité des données – pour en savoir plus, voir la page de la Cnil présentant les grands principes de la cryptologie et du chiffrement) utilisée doit répondre aux exigences de l’état de l’art, être robuste et permettre une conservation sécurisée des mots de passe.
* *
*
A l’issue de ce raisonnement, la formation restreinte prononce, à l’encontre d’EDF, une amende administrative d’un montant de 600 000 euros au titre de ces divers manquements et décide de rendre publique sa décision.
La sanction prononcée par la Cnil dans cette affaire n’est pas négligeable, et ce d’autant que la formation restreinte de la Cnil relève qu’il n’y a pas lieu de prononcer d’injonction dans la mesure où EDF a pris des mesures de mise en conformité s’agissant de l’ensemble des manquements relevés par la rapporteure.
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.
AGIL’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel ou encore en matière de prospection.
Par AGIL’IT – Pôle IT & Data protection
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate