La CNIL a sanctionné la société TOTAL ENERGIES, le 25 février 2022, pour avoir réalisé de la prospection commerciale sans leur consentement des personnes et pour n’avoir pas respecté les droits des personnes en matière de protection des données.

Le site Internet du géant pétrolier, TOTAL.DIRECT-ENERGIE.COM, proposait aux internautes de souscrire à ses offres. Lorsque des personnes commençaient ce processus de souscription, mais ne le terminaient pas, TOTAL effectuait des campagnes « de relance » auprès des personnes, par téléphone ou par e-mail, en utilisant les informations de contact collectées. Au total, 4,6 millions de personnes étaient concernées par cette prospection.

La CNIL a rappelé à la société TOTAL ENERGIES que la prospection commerciale est autorisée si la personne donne son consentement[1], mais qu’il est permis de déroger à cette règle si la collecte des données a été effectué « à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais »[2]. Le site de TOTAL affichait, certes, un message d’information[3], mais il n’était « accompagné d’aucune modalité, telle qu’une case à cocher, permettant à l’utilisateur de s’opposer à l’utilisation de ses coordonnées ». En l’absence d’un tel dispositif, la CNIL considère que l’utilisation de données personnelles à des fins de prospection n’était pas autorisée.

Par ailleurs, la Commission française reproche également à la société TOTAL ENERGIES d’avoir enregistré les appels téléphoniques avec les personnes démarchées sans systématiquement les informer que les appels étaient enregistrés[4] et sans fournir les informations[5] relatives à la protection des données. Les personnes recevaient soit aucune information, soit une information incomplète avec « aucune possibilité […] d’accéder à une information plus complète, par exemple via l’activation d’une touche sur leur clavier téléphonique ».

Enfin, la CNIL reproche aussi au géant français de ne pas avoir respecté les droits[6] des personnes en matière de protection des données car de nombreuses demandes de rectification des données, d’opposition, de demande d’origine des données ou de suppression des données étaient restées sans réponse, ou ont reçu une réponse tardive[7], « jusqu’à deux ans » après.

Une amende d’un million d’euros a été prononcée à l’encontre de la société TOTAL ENERGIES, soit 0,0007 % du chiffre d’affaires[8] du groupe.

Lire :

Ma réaction à cette décision

Cette sanction vise la filiale de TOTAL en charge de la fourniture d’électricité. Cette filiale a été créée suite au rachat en 2019 de la société DIRECT ENERGIE, un fournisseur alternatif d’électricité créé suite à la décision (européenne) de mettre un terme au monopole d’EDF sur le marché de l’électricité et de l’ouvrir à la concurrence.

Les fournisseurs alternatifs d’électricité comme TOTAL/DIRECT ENERGIE sont très actifs médiatiquement pour tenter se faire une place et grappiller les millions de clients d’EDF. La société DIRECT ENERGIE avait, par exemple, sponsorisé une équipe de cyclistes professionnels pour se faire connaître du grand public, qui ne sait probablement pas qu’il est possible, dans certains cas, d’obtenir de l’électricité (moins cher ?) auprès d’autres sociétés qu’EDF. À titre d’information, lors de la procédure de sanction en 2020, TOTAL/DIRECT ENERGIE comptait 3,4 millions de clients, ce qui positionnait la société TOTAL en 3ème position des plus grands fournisseurs d’électricité (et de gaz) en France, loin derrière EDF, acteur historique, et derrière vraisemblablement ENI, l’acteur historique italien qui s’est fait aussi une place en France. C’est dans ce contexte qu’interviennent les faits reprochés à TOTAL.

Concernant les faits, TOTAL proposait sur son site Internet un formulaire pour permettre aux Français de souscrire à ses offres d’électricité. Ce formulaire était manifestement composé de plusieurs étapes, dont l’une des premières consistait à renseigner ses coordonnées, e-mail et numéros de téléphone. Ces coordonnées étaient sauvegardées par TOTAL même si le client n’allait pas au bout de ce processus d’inscription. Résultat, TOTAL pouvait ensuite re-contacter les personnes pour leur faire la promotion de ses offres et tenter de les convaincre de finir leur inscription. Au total, ce stratagème a permis à TOTAL de collecter des données sur 4,6 millions d’internautes français ; malin, mais illégal.

L’acquisition de nouveaux clients a un coût. Cette amende d’un million d’euros est simplement un surcoût, probablement minime, par rapport au nombre de clients que cela a permis d’acquérir. Imaginons que cela ait aidé à acquérir 250 000 clients. Le coût serait de 4 euros par client. À ce prix-là, TOTAL aurait payé immédiatement. Même à 50 euros par client, ils auraient payés.

Je pense que TOTAL savait très bien que son formulaire et ses pratiques étaient douteuses, voire illicites, car lorsqu’on réalise un bénéfice de 16 milliards[9] par an, on peut probablement se payer les meilleurs conseillers. Le ratio bénéfice-risque était cependant très avantageux. Dans le meilleur des cas, la manœuvre passe sans problèmes. Dans le pire des cas, une amende ridicule est imposée par la CNIL, et éventuellement un peu de mauvaise promotion. L’image de TOTAL n’est probablement pas à cela près. Les actionnaires de TOTAL accepteront si cela permet d’acquérir quelques centaines de millions supplémentaires.

La législation française en matière de données personnelles veut que les éventuelles amendes infligées par les autorités de contrôles, comme le CNIL, soient « effectives, proportionnées et dissuasives »[10]. Cette amende d’un million d’euros n’aura aucun effets sur TOTAL, n’est pas proportionnée au regard des apports que cela a apportés à la société, et je ne crois pas un instant qu’elle ait un quelconque effet dissuasif, sur TOTAL ou un autre acteur, bien au contraire.

Notes et références

  1. La législation indique qu’« Est interdite la prospection directe au moyen de système automatisé de communications électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen » (source : CPCE, article 34-5-§1). La société TOTAL ENERGIES devait donc obtenir le consentement des personnes avant de leur envoyer des e-mails promotionnels ou de leur présenter ses offres par téléphone. Voir « Doit-on demander le consentement des personnes avant de leur envoyer des e-mails promotionnels ? ».
  2. La législation permet de réaliser de la prospection commerciale sans obtenir le consentement préalable des personnes uniquement « à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais ». La société TOTAL ENERGIES ne pouvait pas bénéficier de cette exception, car les clients n’avaient pas complété leur souscription. Il n’y a donc pas eu une vente ou une prestation de services entre la société et les personnes.
  3. Le formulaire de souscription du site de TOTAL affichait la mention suivante : « En renseignant les informations suivantes, vous reconnaissez donner votre accord à leur utilisation par Total Direct Energie pour vous présenter ultérieurement ses offres ».
  4. Le RGPD définit une donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable » (source : RGPD, article 4-1). La voix d’une personne peut permettre d’identifier une personne. Elle est donc considérée comme une donnée à caractère personnel. La société TOTAL ENERGIES devait donc appliquer les exigences du RGPD et, notamment, informer les personnes. Voir « La voix d’une personne est-elle une donnée à caractère personnel ? ».
  5. Lorsque des données à caractère personnel sont collectées, le RGPD demande de communiquer certaines informations précises aux personnes, comme les finalités du traitement ou les durées de conservation des données (source : RGPD, article 13). La société TOTAL ENERGIES devait donc communiquer ces informations aux personnes démarchées avant d’enregistrer les appels. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  6. Le RGPD donne un certain nombre de droits aux personnes, comme celui d’obtenir une copie des données, d’obtenir des informations sur l’origine des données ou parfois demander la suppression des données (source : RGPD, article 15-3). Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
  7. Le RGPD demande que « le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande […], dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande » (source : RGPD, article 12-3). La société TOTAL ENERGIES devait donc répondre aux demandes des personnes sous un mois. Voir « Combien de temps a une entreprise pour répondre aux demandes d’exercice de droits RGPD ? ».
  8. La société TOTAL ENERGIES déclare réaliser un chiffre d’affaires de 140 milliards € en 2020 (source : Total Energies, Rapport Financier 2020, page 310).
  9. Le groupe TOTAL a déclaré un bénéfice net de 16,366 milliards d’euros en 2021 (source : Total, Document d’enregistrement universel 2021, page 400).
  10. Les amendes imposées par les autorités de contrôle comme la CNIL doivent être « effectives, proportionnées et dissuasives » (source : RGPD, article 83-1).
Voir les sigles et acronymes
  • CNIL : Commission Nationale de l'Informatique et des Libertés