La CNIL a sanctionné la société EDF, le 24 novembre 2022, pour n’avoir pas respecté la législation en matière de prospection commerciale et pour des manquements au RGPD.

La société EDF réalisait des opérations de prospection commerciale par e-mail au cours de l’année 2020. Les adresses e-mails des prospects n’étaient toutefois pas obtenues par EDF directement auprès des prospects, mais étaient achetées auprès d’une société tierce, un « courtier en données ».

La CNIL a rappelé à l’électricien français que la législation interdisait l’envoi de prospection commerciale, sauf si le consentement des personnes avait été préalablement obtenu[1]. En l’espèce, il s’est avéré qu’EDF n’était « pas en mesure de communiquer de pièces démontrant l’obtention d’un consentement valablement recueilli auprès des personnes », car la société rencontrait « des difficultés à obtenir du courtier en données concerné des éléments de preuve concernant le recueil du consentement ».

EDF a néanmoins fourni « deux exemples de formulaire type de collecte de données des prospects mis à disposition par le courtier en données », mais la Commission a relevé que ces formulaires ne mentionnaient « aucune liste de partenaires - incluant EDF ». De plus, la CNIL a considéré que les mesures prises par EDF pour s’assurer que le consentement était valablement obtenu étaient « insuffisantes », car la société se contentait d’« échanges informels » et d’un engagement contractuel à respecter la législation, mais elle n’exerçait « aucun contrôle sur les formulaires de recueil utilisés » et ne réalisait pas d’audits.

Par ailleurs, la CNIL reproche également à EDF le manque de transparence de sa « charte de protection des données personnelles » :

  • la source des données[2], concernant les opérations de prospection par courrier (papier), n’était pas « suffisamment précise », car le document indiquait que les données étaient collectées auprès d’un « organisme spécialisé dans l’enrichissement de données » ;
  • la durée de conservation des données était « vague et imprécise », car le document indiquait, par exemple pour les utilisateurs d’un compteur Linky, que les données étaient conservées « pendant la durée nécessaire à leur traitement selon la finalité qui a été fixée » ;
  • la base légale de chaque traitement n’était pas indiquée.

Enfin, la CNIL reproche également de nombreux manquements de sécurité, notamment l’utilisation de la fonction de hachage MD5[3] pour conserver les mots de passe des clients « prime énergie » et l’utilisation de la fonction de hachage SHA-256 sans sel[4] pour conserver 20% des mots de passe des clients d’EDF, « EDF.FR ».

Une amende de 600 000 euros a été prononcée à l’encontre d’EDF, soit 0,0007 % de son chiffre d’affaires.

Lire :

Ma réaction à cette décision

Après TOTAL[5] et ACCOR[6], c’est au tour d’EDF d’être sanctionné pour de la prospection commerciale. La CNIL semble faire de la prospection commerciale sa priorité de l’année 2022. On peut toutefois douter de l’efficacité de ces procédures, car les sanctions sont bien trop faibles. 600 000 € représente une goutte d’eau lorsqu’on réalise un chiffre d’affaires de 84 milliards d’euros.

En lisant cette délibération, on se rend vite compte qu’il y a un « éléphant dans la pièce » : les courtiers en données. Bien que leur cœur de métier soit le traitement de données personnelles, la CNIL ne s’est, pour le moment et à ma connaissance, jamais attaquée publiquement à ces sociétés. On peut pourtant douter de la licéité de beaucoup de leurs traitements, réalisés, pour la plupart, discrètement, sans que les personnes s’en rendent compte et sans même qu’ils connaissaient leur existence. Ces sociétés devraient être la priorité de la Commission, car ce sont elles qui alimentent les entreprises traditionnelles comme EDF.

Enfin, je ne peux pas ne pas mentionner certains arguments mis en avant par EDF pour tenter de se justifier. Concernant les durées de conservation « vagues et imprécises » par exemple, EDF ose indiquer que « la société procédait, à la date du contrôle en ligne, à une large refonte des durées de conservation ». Oui, comme par hasard, le jour du contrôle, ils étaient justement en train de les réétudier. EDF « considère qu’il n’était donc pas possible d’indiquer l’ensemble des durées de conservation, puisque celles-ci étaient en cours de revue et de modification ». Je ne sais pas vous, mais moi j’appelle ça se foutre de la gueule du monde, enfin surtout de la CNIL.

Notes et références

  1. La législation indique qu’« Est interdite la prospection directe au moyen de système automatisé de communications électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen » (source : CPCE, article 34-5-§1). La société EDF devait donc obtenir le consentement des personnes avant de leur envoyer des e-mails promotionnels. Voir « Doit-on demander le consentement des personnes avant de leur envoyer des e-mails promotionnels ? » et « Comment obtenir le consentement d’une personne pour l’envoi d’e-mails promotionnels ? ».
  2. Lorsque des données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le RGPD demande de fournir aux personnes certaines informations, notamment « la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public » (source : RGPD, article 14-2-f). Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  3. La fonction de hachage MD5 « n’est plus considérée depuis 2004 comme à l’état de l’art et son utilisation en cryptographie ou en sécurité est proscrite » (source : délibération, §64). En effet, des des vulnérabilités majeures ont été découvertes. Voir « Peut-on utiliser la fonction de hachage MD5 pour enregistrer l’empreinte des mots de passe de ses utilisateurs ? ».
  4. Le sel permet d’ajouter une composante aléatoire aux mots de passe pour éviter que deux mots de passe identiques aient la même empreinte. Cela permet de compliquer la tâche à un éventuel attaquant qui déroberait la base de données contenant les empreintes des mots de passe, car il ne pourrait pas calculer des empreintes des mots de passe à l’avance.
  5. La société TOTAL ENERGIES a été sanctionnnée par la CNIL suite à l’envoi d’e-mails promotionnels (source : CNIL, SAN-2022-011, 23 juin 2022, TOTALENERGIES). Voir « Le pétrolier TOTAL ENERGIES sanctionné pour avoir effectué des campagnes de prospection sans le consentement des personnes ».
  6. Le groupe ACCOR a été sanctionné par la CNIL, car des e-mails promotionnels étaient envoyés aux clients sans leur consentement (source : CNIL, SAN-2022-017, 3 août 2022, ACCOR). Voir « Le groupe hôtelier ACCOR sanctionné pour l’envoi d’e-mails de prospection sans consentement, un manque d’information et des manquements de sécurité ».

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données