Le privacy by default : Meta sanctionné à hauteur de 265 millions d’euros par l’autorité de contrôle irlandaise
1 décembre 2022L’autorité de contrôle espagnole sanctionne un hôpital pour violation de la confidentialité du dossier médical
8 décembre 2022Multiples violations du RGPD : sanction de la CNIL à l’encontre de la société EDF
La CNIL a sanctionné EDF à hauteur de 600 000 euros pour plusieurs manquements au RGPD, relatifs à la prospection commerciale et aux droits des personnes.
Dans la lignée de la sanction à l’encontre de Discord[1], la CNIL sanctionne à présent le premier fournisseur d’électricité en France. La procédure de contrôle a été mise en place après de nombreuses plaintes à l’encontre de la société.
Les manquements constatés sont nombreux :
- L’obligation de recueillir le consentement des personnes avant d’envoyer de la prospection commerciale par voie électronique.
La société EDF, après une campagne de prospection commerciale, n’a pas été en mesure de prouver à la CNIL qu’elle avait obtenu le consentement préalable des personnes concernées ni n’a pu montrer la liste des partenaires destinataires des données. La société n’a pas réussi, pendant la procédure, à s’assurer que le consentement a été valablement recueilli par les courtiers.
- L’obligation d’information et au respect des droits des personnes.
La CNIL rappelle par cette sanction qu’il faut informer précisément les personnes concernées sur les traitements de leurs données à caractère personnel, en particulier sur la politique de protection des données en ligne qui peut être facilement contrôlée.
La société EDF n’a pas suffisamment précisé la politique de protection des données sur le site internet :
- Il n’y avait pas pour chaque traitement de données une base légale correspondante ;
- Les durées de conservation n’étaient pas suffisamment précises ;
- L’information sur les tiers destinataires des données n’était pas assez précise.
La société n’a pas respecté le délai d’un mois pour répondre aux demandes de certains plaignants et n’avait pas respecté le droit d’accès des personnes en envoyant des informations inexactes ni le droit d’opposition pour la prospection commerciale.
- L’obligation d’assurer la sécurité des données.
La CNIL rappelle qu’il faut mettre en place des mesures de sécurité pour conserver les mots de passe des utilisateurs.
La société n’avait pas respecté cette obligation puisque des comptes étaient conservés de façon non sécurisée jusqu’à juillet 2022 et les mots de passe étaient simplement hachés sans avoir été salés (c’est-à-dire que des caractères aléatoires sont ajoutés avant le hachage pour éviter de retrouver les informations par comparaison de hachage).[2]
Tous ces manquements ont été sanctionnés à hauteur de 600 000 euros malgré la coopération de la société pendant l’opération de contrôle et la volonté de se mettre en conformité sur tous les points qui lui ont été reprochés.
Pour plus d’informations :
Prospection commerciale et droits des personnes : sanction de 600 000 euros à l’encontre d’EDF, CNIL, 29 novembre 2022
[1] Multiples violations du RGPD : sanction à l’encontre de la société DISCORD INC., M.A, 24 novembre 2022
[2] La CNIL met à jour ses recommandations pour l’authentification par mots de passe, Laura Martini, 9 novembre 2022