Le 24 novembre dernier, la CNIL a sanctionné lourdement l’entreprise EDF par une amende de 600 000 euros. En effet, un contrôle a été réalisé à la suite de diverses plaintes de personnes concernées qui n’obtenaient pas satisfaction dans l’exercice de leurs droits. Pendant ce contrôle, elle a ainsi constaté plusieurs manquements aux exigences du RGPD.
Le premier manquement retenu concerne l’obligation de recueillir le consentement des personnes concernées (BtoC) pour recevoir de la prospection commerciale (articles L.34-5 du Code des postes et des communications électroniques ou CPCE et 7 du RGPD). La CNIL a en effet constaté que lors de campagnes de prospection par courriel, l’entreprise n’était pas en mesure de prouver qu’elle avait obtenu préalablement le consentement des destinataires.
Pour sa prospection commerciale, l’entreprise fait appel à des data brokers, des entreprises de courtiers de données. Pour démontrer sa conformité, EDF a produit deux formulaires de collecte de données de prospects mais elle n’a pas été en mesure d’expliquer et de lister ses partenaires auxquelles ces données peuvent être communiqués.
De plus, concernant ces courtiers de données, la CNIL estime qu’EDF aurait dû auditer les data brokers et vérifier auprès des courtiers, que le recueil des consentements était valablement réalisé.
Un second manquement concerne le manque d’informations et de respect des droits des personnes concernées (articles 12 à 14 et 21 du RGPD). En effet, la CNIL a constaté que l’information sur le site internet de l’entreprise était imprécise sur les durées de conservation, qu’il manquait la base légale pour les usages des données personnelles, ainsi que la source claire et précise des données personnelles pour la prospection commerciale.
Concernant les droits des personnes concernées, il est reproché à EDF de ne pas avoir tenu les délais de réponse aux personnes exerçant leurs droits d’accès et/ou d’opposition.
Enfin, le dernier manquement retenu est celui du non-respect de l’article 32 du RGPD concernant la sécurisation des données. La CNIL a en effet constaté que les mots de passe n’étaient pas suffisamment sécurisés.
Pour conclure, malgré la mise en conformité rapide de l’entreprise sur plusieurs manquements, la CNIL estime qu’au regard de l’importance de l’entreprise sur le marché français, elle aurait dû mettre les moyens nécessaires à sa conformité à la législation nationale et européenne en matière de protection des données.
Consultez ici le communiqué et la délibération de la CNIL : Prospection commerciale et droits des personnes : sanction de 600 000 euros à l’encontre d’EDF ; Délibération SAN-2022-021 du 24 novembre 2022
Pour mémoire et dans la droite ligne de ce que prévoit la notice décrivant le cadre de gestion des risques TIC, la dernière version de la notice RSR/SFCR de l’ACPR de décembre 2024 précise en effet les éléments relatifs à DORA que les organismes d’assurance relevant du régime S2 sont désormais tenus de faire figurer […]
Le Gouvernement dit ne pas vouloir abandonner son projet ; les OCAM font front commun et lèvent haut et fort leur bouclier ! Le Gouvernement demeure en effet résolu à instaurer une « contribution » mise à la charge des OCAM, destinée dit-il à générer 1 Milliard d’euros en compensation du projet abandonné d’augmentation du […]
Le 14 mars dernier, l’ACPR a tenu à la Maison du Barreau sa matinée dédiée à la protection des clientèles des banques et des assurances, l’occasion pour elle de revenir sur certains sujets tels que la distribution des contrats obsèques, sa dernière recommandation sur le devoir de conseil en assurance, ou encore les bonnes pratiques […]
