Le pétrolier français TotalEnergies a été sanctionné par la CNIL d’une amende d’un million d’euros pour avoir notamment envoyé des e-mails publicitaires.

J’explique, dans cet épisode, ce qu’il s’est passé et pourquoi ce qu’a fait Total est illégal. Je parle également de la sanction infligée par la CNIL et explique pourquoi elle est, à mon sens, complètement inadaptée.

Écouter l'épisode :

Autres méthodes proposées :

Vous pouvez retrouver tous les épisodes et vous abonner au Podcast sur : Apple Podcast, Google Podcast, Spotify ou en intégrant le flux RSS à votre application préférée.

Musique réalisée par Mix Nguyên.

La retranscription de ce qui est dit dans l’épisode est proposée plus bas pour ceux qui ne souhaitent pas ou ne peuvent pas écouter la version audio.

Retranscription de l’épisode

Bonjour et Bienvenue dans le Podcast d’eWatchers.org. L’idée de ce podcast est d’approfondir certains sujets qui ont été abordés sur le site, en lien principalement avec le fonctionnement du Web, la cybersécurité et la protection des données.

Dans cet épisode, j’ai envie de vous parler de la sanction de la CNIL à l’encontre du groupe Total qui s’appelle maintenant Total Énergies. Je vais vous expliquer pourquoi la société a été sanctionnée, vous expliquer le contexte et on va voir quelles sont les règles applicables en matière de consentement lorsqu’une société veut envoyer de la prospection commerciale par e-mail ou par téléphone. Dans un 2e temps, j’ai envie de parler de la sanction qui a été émise à l’encontre de la société, 1 million d’euros. Je vais vous expliquer pourquoi cette sanction est à mon sens complètement inadaptée et pourquoi elle pose problème aussi bien pour les internautes français que pour les concurrents de Total. On va voir tout ça en détail.

Je m’appelle Morgan Schmiedt et vous écoutez un épisode d’eWatchers.org.

Le contexte et les faits reprochés à Total

Pour commencer, ce que vous devez savoir, c’est que l’entreprise qui est en cause est le groupe Total. Précisément, c’est la filiale du groupe Total qui était auparavant la société Direct Énergie. Cette société Direct Énergie, elle a vu le jour suite à la décision de la Commission européenne en 2010 d’ouvrir le marché de la fourniture de gaz et d’électricité – le marché de l’énergie – à la concurrence ; marché qui était en France le monopole de la société EDF.

Les sociétés comme Direct Énergie – on pourrait citer aussi ENI, qui est un fournisseur qu’on appelle alternatif – ont donc cette optique de s’implémenter dans un marché qui était autrefois le monopole d’une société et de prendre les clients à EDF. Elles sont donc dans une dynamique d’acquisition de clients et veulent faire passer le message aux Français qu’il est possible d’obtenir de l’énergie auprès de fournisseurs alternatifs, comme Direct Énergie ou ENI, éventuellement à un prix plus intéressant qu’EDF avec des contrats bien précis – on parle d’offres au marché ou d’offres réglementées.

Cette société Direct Énergie, elle a été rachetée ensuite par Total en 2019, qui a renommé la société Direct Énergie en Total-Direct Énergie avant de renommer l’intégralité du groupe Total Énergies. Cette sanction de la CNIL intervient après le rachat de Total de Direct Énergie. C’est pourquoi on va parler de Total de façon générique, même si elle concerne la filiale Direct Énergie, qui est aujourd’hui intégrée au groupe Total.

Maintenant, vous avez un petit peu de contexte, venons-en au fait. Ce qui s’est passé, c’est que le groupe Total a mis en ligne sur son site Internet, toujours dans cette optique d’acquisition de clients, un formulaire pour permettre aux internautes français de souscrire à ses offres Direct Énergie.
Je ne l’ai pas fait personnellement, mais on comprend d’après la décision qui a été mise en ligne par la CNIL, que ce formulaire de souscription était relativement long. J’imagine que lorsqu’on souscrit un nouveau contrat d’énergie, on doit saisir des informations sur soi, sur le logement dans lequel on est, sur le type de contrat qu’on souhaite, etc.

Étant donné que ce processus de souscription était relativement long, il était découpé en plusieurs étapes. Une des premières étapes consistait à demander les coordonnées de la personne, c’est-à-dire demander le numéro de téléphone et l’adresse mail de la personne.

Ce qui se passait, c’est que si la personne commençait ce processus de souscription, mais ne le finissait pas, Total enregistrait les données déjà saisies et utilisait ensuite ces données pour ce qu’ils appellent « relancer les clients », c’est-à-dire faire de la prospection auprès de ces clients pour essayer tout simplement de conclure le deal qui a été commencé et essayer de motiver le client pour enfin signer et pour finalement obtenir ce client.

Il faut aussi préciser que sur ce formulaire de souscription, sur la page Internet, l’internaute ne précisait pas qu’il voulait être l’objet de relances ou de prospection commerciale. Total affichait cependant un message d’information que je vais vous lire : « En renseignant les informations suivantes, vous reconnaissez donner votre accord à leur utilisation par Total-Direct Énergie pour vous présenter ultérieurement ces offres. »

Donc, les internautes n’avaient pas la possibilité d’accepter ou de refuser le fait d’être relancé ensuite, mais ils étaient avertis que les informations qu’ils saisissaient étaient utilisées ensuite pour être relancés d’une manière ou d’une autre.

Ce qu’on apprend aussi de la décision de la CNIL, c’est que ce processus de souscription a été réalisé par 4,6 millions de prospects. J’imagine qu’une grande partie avait la volonté de voir si les offres qui étaient proposées par le fournisseur alternatif, ici Total, étaient plus intéressants d’un point de vue financier, mais lorsqu’il réalisait que ce n’était peut-être pas le cas ou que le formulaire était peut-être long et qu’ils avaient des pièces à communiquer, ils s’arrêtaient. Je n’en ai pas la certitude, mais on peut imaginer que c’était le cas.

Donc pour résumer : un formulaire de souscription, une des premières étapes consistait à collecter l’adresse e-mail et le numéro de téléphone de la personne. Si le client, ou le prospect on devrait dire, s’arrêtait en cours de route, Total utilisait ses coordonnées, rappelait la personne ou renvoyait des informations à la personne pour essayer de conclure le deal.

Ce procédé qui consiste à collecter des informations personnelles et à utiliser ces données ensuite pour réaliser de la prospection commerciale, pour faire des offres de relance, a été jugé illégal par la CNIL. Laissez-moi vous expliquer pourquoi.

En France, une société, une personne, a la possibilité de réaliser de la prospection commerciale, de faire la promotion de ses offres, uniquement si elle a obtenu au préalable le consentement des personnes. C’est le code des postes et des communications électroniques (CPCE), l’article 34-5 qui le dit et laissez-moi vous le lire pour être très précis : « Est interdite la prospection directe au moyen de système automatisé de communications électroniques [comme des] courriers électroniques [en] utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen. »

Il y a toutefois une exception et je vais continuer de vous lire l’article de loi qui est relativement explicite : « Toutefois, la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies auprès de lui […] à l’occasion d’une vente ou d’une prestation de services », à deux conditions :

  • « si la prospection directe concerne des produits ou services analogues fournis par la même personne » ; et
  • « si le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l’utilisation de ses coordonnées au moment où elles sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé ».

Ce que cela veut dire, c’est qu’il est possible de ne pas demander le consentement de la personne lorsqu’on envoie de la prospection commerciale uniquement si l’envoi de ces offres est postérieur à une offre de vente ou de prestations de services, à condition de donner la possibilité à la personne de s’y opposer et de dire : je ne veux pas recevoir d’offres similaires aux services ou aux produits que j’ai achetés.

Ce que cela veut dire par exemple, c’est que lorsque vous passez commande sur un site marchand, au moment de la finalisation de la commande pour un téléphone par exemple, le marchand peut se contenter de vous informer que des e-mails promotionnels seront envoyés en lien avec l’article que vous avez acheté, avec le téléphone que vous avez acheté, mais que vous avez la possibilité de vous y opposer. Dans le jargon, ce mécanisme qui consiste à demander à la personne de préciser de ne pas être le bénéficiaire de prospection commerciale, on appelle cela un mécanisme d’« opt-out ». À l’inverse, un consentement classique qui consiste à demander à la personne de préciser si elle veut être destinataire de prospection commerciale, on appelle ça un mécanisme d’« opt-in ».

Si on applique cette règle à Total, on se rend compte donc qu’il y a 2 choix.
Le premier qui consiste à dire que les personnes ne sont pas encore clients étant donné qu’elles ont commencé le processus de souscription mais qu’elles ne l’ont pas fini. On va dire que ce sont des prospects. On rentre donc dans la règle et non pas l’exception. Dans ce cas-là, Total aurait dû demander le consentement des personnes, c’est-à-dire leur demander de préciser si oui, ils veulent bien être bénéficiai d’emails promotionnels où d’offres de relance.
Ça, c’est le premier cas.

Dans le 2e cas, imaginons même que le début du processus de souscription correspond d’une certaine façon à un service, c’est-à-dire que le client, ou du moins le prospect, veut obtenir un devis sur les offres de Total. Même dans ce cas-là – l’exception à la règle, on va dire –, Total aurait dû non pas demander aux clients de préciser s’ils veulent être bénéficiaires d’emails promotionnels, mais aurait dû les informer, ce qu’ils ont fait, mais aussi leur permettre de refuser la réception d’appels ou d’emails professionnels, ce que Total n’a pas fait.

Donc Total aurait dû, d’une façon ou d’une autre – je sais pas à quel point est-ce que le mécanisme de opt-in c’est-à-dire de considérer que le début du processus de souscription correspond plus ou moins à une prestation de services d’obtenir un devis, etc – quoi qu’il en soit, la question ne se pose même pas, Total aurait dû soit demander le consentement des personnes, soit permettre aux personnes de refuser l’utilisation de leurs coordonnées à des fins de prospection, ce qu’ils n’ont pas fait.

Il y a 2 autres points que reproche la CNIL à Total. Je ne vais pas m’y attarder mais, par souci d’exhaustivité, je vais quand même vous les dire.

Le premier c’est que Total, lorsqu’il faisait les appels, effectuait l’enregistrement des appels sans informer les personnes ou sans les informer correctement. Ce qu’il faut savoir, c’est que lorsqu’on enregistre un appel, on considère qu’il y a des informations personnelles qui sont collectées. Dans ce cas-là, comme toutes données personnelles, il faut apporter une information complète à la personne. Concernant Total, soit aucune information était donnée, soit une information incomplète. C’était donc un des manquements.

Le deuxième, c’est qu’un certain nombre de personnes – on va dire une petite dizaine – avait effectué des demandes de droits, c’est-à-dire obtenir une copie des données, obtenir une modification des données ou obtenir la suppression de données, et qu’une réponse très tardive leur a été apportée. Encore une fois, ce qu’il faut savoir, c’est qu’une entreprise a normalement un mois pour apporter une réponse à une demande d’application de droits. Concernant Total, il fallait parfois attendre jusqu’à 2 ans pour obtenir une réponse, ce qui était bien trop tardif. C’était le 2e manquement.

Le verdict de la CNIL : des manquements à la législation locale, des manquements au RGPD et donc une sanction d’un million d’euros à l’encontre de Total.

La sanction ridicule de la CNIL contre Total

Parlons maintenant de la sanction qui a été émise à l’encontre de Total, c’est-à-dire un million d’euros et, bien sûr, l’obligation de se mettre en conformité.

Un million, ça peut paraître beaucoup pour le commun des mortels, mais pour Total, c’est très très peu. Quand j’ai analysé la décision, j’ai cherché quel était le chiffre d’affaires de la société Total. Pourquoi le chiffre d’affaires ? parce que la réglementation en matière de protection des données impose une limite maximale aux amendes infligées aux entreprises, qui est pour les grosses sociétés, 2 % ou 4 % selon les manquements, et pour les petites sociétés, 10 ou 20 millions d’euros, sachant qu’on prend la plus grande valeur en compte, soit le pourcentage, soit le montant fixe.

Pour Total, le chiffre d’affaires est de 140 milliards d’euros par an, un milliard étant mille millions. Cette amende d’un million d’euro correspond donc à 0,0007 % de ce chiffre d’affaires de 140 milliards de Total. C’est bien 0,0007 %, c’est-à-dire 3 zéros après la virgule.

Étant donné que ces montants sont relativement grands, laissez-moi vous donner un exemple. Imaginons que ce montant de l’amende, en pourcentage et non pas en valeur, 0,0007 %, on l’appliquait à une personne qui gagne le SMIC. Le SMIC en France est entre 1 200 et 1 300 € – on va dire 1 300 € pour est gentil –, c’est-à-dire 15 600 € par an. Si on applique le pourcentage de l’amende à une personne qui gagne le SMIC, c’est-à-dire 0,0007 %, l’amende serait de 11 centimes.

Imaginez la situation si une personne était en voiture et faisait un excès de vitesse, on lui demanderait non pas 45 € comme c’est le cas actuellement, mais 11 centimes. La personne ouvrirait son porte-monnaie, prendrait une pièce de 20 centimes et dirait : gardez la monnaie. C’est exactement, je pense, ce qu’a pensé Total. Il s’est dit : c’est vraiment pas cher, on s’en sort effectivement très bien.

Si je reviens sur cet exemple de l’excès de vitesse qui est de 45 €, c’est-à-dire quand même 400 fois plus que les 11 centimes qui correspondent au pourcentage de l’amende de Total, cela voudrait dire que ce 400-fois-plus, si on l’appliquait à l’amende de Total, c’est pas 1 million d’euros qu’il aurait fallu donner à Total, mais 400 millions d’euros, ce qui serait plus juste. En tout cas, ça correspondrait pour le commun des mortels à une amende de 45 €.

Cette sanction d’un million d’euros et une amende, certes, pour Total, mais est aussi, d’une certaine façon, un surcoût d’acquisition des clients. Ce procédé a quand même permis à Total de récupérer 4,6 millions de coordonnées de clients. Imaginons que sur ces 4,6 millions, ce procédé a permis de récupérer 250 000 clients, c’est-à-dire qu’en relançant les personnes, ce processus de récupérer les coordonnées de façon illégale des clients a permis de récupérer 250 000 clients. Imaginons. Cela voudrait dire que l’amende d’un million d’euros qui a été émise contre Total correspond finalement à un coût d’acquisition par client de 4 €, ce qui est à mon sens ridicule. Ce qu’il faut comprendre, c’est que le coût d’acquisition des clients de façon générale pour les entreprises est un coût élevé. Dans ce milieu là, à l’instar des banques, c’est un coût qui est relativement faible étant donné qu’on change, je pense, rarement de fournisseurs d’énergie. Probablement qu’une partie des personnes pensent que, si ça se passe mal, ils n’auront plus l’électricité et auront le frigo qui ne marche plus, etc. Donc c’est quelque chose qu’on ne fait pas souvent. Qautre euros, dans ce contexte, c’est une goutte d’eau et je pense que même si le coût avait été de 10 € ou 50 €, Total aurait payé directement.

Ce million d’euros, c’est donc non seulement ridicule, mais c’est aussi un problème d’un point de vue de la concurrence. Imaginons qu’un autre concurrent, ENI par exemple – d’après les informations que j’ai trouvées, ENI serait le 2e plus gros fournisseur d’énergie en France ; manifestement, Total serait 3e. Si Total ne respecte pas les règles et ça – cela est valable pour tous les marchés, pas uniquement pour le marché de l’énergie – et peut s’en tirer en payant une amende ridicule, peut-être que les autres fournisseurs auraient bien voulus aussi payer 4 € de surcoût par client et récupérer tous ces clients. Peut-être que dans le ratio bénéfice risque, ça aurait été quelque chose d’intéressant aussi pour les concurrents de Total. Finalement, Total a probablement eu raison de recourir à ces pratiques, qui sont très douteuses, illégales même, et s’est probablement dit que, au mieux, ça passait sans problème – et on sait que la CNIL a souvent autre chose à faire que de faire appliquer le règlement en matière de protection des données. Au pire, il reçoit une amende ridicule et j’aurais eu exactement le même raisonnement s’il y avait une amende de 10 ou 15 millions d’euros. Tout ce qu’il se serait passé, c’est que l’image de Total aurait été un peu ternie, ce qui est manifestement le cas-là parce qu’on en parle pendant quelques jours, mais je pense que les actionnaires de Total pardonneront aux dirigeants si cela leur permet d’apporter un petit billet supplémentaire, même si cela va encore assombrir l’image déjà très sombre de Total.

Pour finir, j’aimerais vous citer la réglementation que doit normalement suivre la CNIL en matière de protection des données. C’est l’article 83 du règlement général de la protection des données, le RGPD, je cite : « chaque autorité de contrôle [en l’occurrence la CNIL pour la France] veille à ce que les amendes administratives imposées en vertu du présent article pour les violations du RGPD soient, dans chaque cas [et il y a trois conditions importantes], effectives, proportionnées et dissuasives. »

Est-ce que l’amende d’un million d’euros qui a été infligée à Total a un quelconque effet sur Total, sur son fonctionnement ou sur ce qu’il s’est passé ? Non, je dirais même, au contraire, cela va plus les inciter à recourir à ce genre de pratiques, que ce soit eux ou les concurrents.

Est-ce que cette amende d’un million d’euros est proportionnée par rapport aux gains que cela a permis d’acquérir par Total ? Je ne pense pas.

Est-ce que c’est proportionné par rapport à la situation financière de Total ? Non, je ne pense pas.

Finalement, est-ce que cette amende d’un million d’euros est dissuasive ? Est-ce que si c’était à refaire, est-ce que Total ou un concurrent, le referait en sachant, en amont, qu’ils paieraient ce prix ? je pense que oui et je pense même que s’ils devaient payer 10 fois ce montant là, c’est-à-dire 10 millions d’euros pour un gain de X centaines de milliers de clients, ils le feraient tout de suite. D’ailleurs, Total ne fera probablement pas appel de cette décision. Ils sont très contents du verdict. Ils s’en sortent extrêmement bien.

Conclusion

Pour conclure, je pense que c’est un réel problème lorsque les actions qui sont infligées aux entreprises sont inadaptées, ou trop faibles, surtout lorsqu’on voit que la procédure a duré 2 ans. Les premières plaintes ont été quand même émises à l’encontre de Total en octobre 2019 – là, j’enregistre, on est en juillet 2022. Puis que le processus d’inscription litigeux, il date d’août 2020, c’est-à-dire quasiment 2 ans. Une procédure qui a mis 2 ans, qui a demandé un certain coût, que ce soit financier, que ce soit humain, pour finalement mettre une sanction ridicule, qui fait passer le message, que ce soit à Total ou aux concurrents : vous pouvez faire ce que vous voulez, au mieux, vous vous en sortez, au pire, vous payez une petite amende et là encore, il faut préciser qu’on a eu de la chance quelque part d’avoir accès à cette décision, parce que c’est extrêmement rare pour la CNIL de les publier. On va dire que c’est une sanction supplémentaire quelque part de faire de la mauvaise presse. Dans la grande majorité des cas, on n’a pas accès aux décisions. Ça se fait de façon privée, pour des raisons que j’ignore, surtout ne pas faire de bruit. Une petite amende, on fait pas de bruit, et on passe à autre chose.

Il faut vraiment revoir le montant des amendes, qu’il dissuade vraiment les entreprises à effectuer ce genre de pratique. Sinon, on aura vraiment l’effet inverse et d’ailleurs on le voit au quotidien, personne ne respecte rien, il faut être conscient de ça. La CNIL doit faire respecter les règles, doit faire respecter le RGPD et doit se faire respecter. Elle doit protéger, nous protéger, protéger les Français de ces pratiques de voyous.

C’était Morgan Schmiedt pour eWatchers.org.