01 Déc

Multiples violations du RGPD : sanction de la CNIL à l’encontre de la société EDF

La CNIL a sanctionné EDF à hauteur de 600 000 euros pour plusieurs manquements au RGPD, relatifs à la prospection commerciale et aux droits des personnes.

Dans la lignée de la sanction à l’encontre de Discord[1], la CNIL sanctionne à présent le premier fournisseur d’électricité en France. La procédure de contrôle a été mise en place après de nombreuses plaintes à l’encontre de la société.

Les manquements constatés sont nombreux :

  • L’obligation de recueillir le consentement des personnes avant d’envoyer de la prospection commerciale par voie électronique.

La société EDF, après une campagne de prospection commerciale, n’a pas été en mesure de prouver à la CNIL qu’elle avait obtenu le consentement préalable des personnes concernées ni n’a pu montrer la liste des partenaires destinataires des données. La société n’a pas réussi, pendant la procédure, à s’assurer que le consentement a été valablement recueilli par les courtiers.

  • L’obligation d’information et au respect des droits des personnes.

La CNIL rappelle par cette sanction qu’il faut informer précisément les personnes concernées sur les traitements de leurs données à caractère personnel, en particulier sur la politique de protection des données en ligne qui peut être facilement contrôlée.

La société EDF n’a pas suffisamment précisé la politique de protection des données sur le site internet :

  • Il n’y avait pas pour chaque traitement de données une base légale correspondante ;
  • Les durées de conservation n’étaient pas suffisamment précises ;
  • L’information sur les tiers destinataires des données n’était pas assez précise.

La société n’a pas respecté le délai d’un mois pour répondre aux demandes de certains plaignants et n’avait pas respecté le droit d’accès des personnes en envoyant des informations inexactes ni le droit d’opposition pour la prospection commerciale.

  • L’obligation d’assurer la sécurité des données.

La CNIL rappelle qu’il faut mettre en place des mesures de sécurité pour conserver les mots de passe des utilisateurs.

La société n’avait pas respecté cette obligation puisque des comptes étaient conservés de façon non sécurisée jusqu’à juillet 2022 et les mots de passe étaient simplement hachés sans avoir été salés (c’est-à-dire que des caractères aléatoires sont ajoutés avant le hachage pour éviter de retrouver les informations par comparaison de hachage).[2]

Tous ces manquements ont été sanctionnés à hauteur de 600 000 euros malgré la coopération de la société pendant l’opération de contrôle et la volonté de se mettre en conformité sur tous les points qui lui ont été reprochés.

Pour plus d’informations :

Prospection commerciale et droits des personnes : sanction de 600 000 euros à l’encontre d’EDF, CNIL, 29 novembre 2022

[1] Multiples violations du RGPD : sanction à l’encontre de la société DISCORD INC., M.A, 24 novembre 2022

[2] La CNIL met à jour ses recommandations pour l’authentification par mots de passe, Laura Martini, 9 novembre 2022

Par V.M | News, Protection des données, Sécurité

TAGS :

Autres articles

23 Mai

L’espace européen des données de santé (EHDS) : un nouveau départ pour la politique de santé numérique de l’UE ​

16 Sep

Durées de conservation et mesures de sécurité : le GIE INFOGREFFE condamné par la CNIL à une amende de 250.000 euros

09 Nov

La CNIL met à jour ses recommandations pour l’authentification par mots de passe
Logo DPM
Linkedin

© Copyright 2005 – 2023 DPM by Lexagone. Tous droits réservés

Lexagone est membre des organismes suivants

DPM by Lexagone, c'est ...

Un logiciel

Des services

Un blog

Une démo

afcdp

... mais aussi

Des utilisateurs

Des partenaires

Une société 

Un contact

Clubster NSL

... Légal

Mentions légales

Protection des données

Conditions Générales d’Utilisation

Cookies

Mentions légales

Protection des données

Conditions Générales d’utilisation

Cookies

Apssis