Une information importante qu’il ne fallait pas rater cette semaine. La CNIL a sanctionné EDF pour ses pratiques en matière de gestion de données personnelles, de clients et de prospects dans une décision du 24 novembre. Elle y inflige une amende de 600 000€.
Tout est parti de plusieurs plaintes déposées par des particuliers, ce qui a provoqué l’ouverture d’une enquête en 2021 à propos de la gestion de la base de données de l’entreprise de 25 millions de clients.
Il est d’abord reproché à EDF des manquements à son obligation de sécurisation des données et notamment par rapport aux mots de passe assurant l’accès à l’espace Prime Énergie. La CNIL relève que la technique de sécurisation des mots de passe employée était dépassée ce qui aurait pu faciliter l’accès à des pirates informatiques à un grand nombre de données des clients de l’entreprise.
Ensuite, en matière de prospection, la CNIL reproche à EDF d’avoir de nombreux contacts à travers des courtiers sans avoir pu apporter la preuve du consentement des personnes dans la communication de leurs données pour la démarche.
Puis la CNIL reproche à EDF des lacunes dans sa Charte de protection des données.
La CNIL relève aussi que l’entreprise n’a pas apporté toutes les réponses aux demandes de ses clients en matière de gestion de leurs données personnelles et notamment concernant leur droit d’opposition.
L’amende de la CNIL est relativement faible comparativement à d’autres décisions prises par elle-même ou par d’autres autorités en charge des données personnelles en Europe (par exemple la DPC en Irlande a condamné Meta à 276 millions d’euros). Il a été pris en compte affirme l’autorité la bonne coopération de l’entreprise dans l’enquête et les correctifs déjà apportés pour remédier aux manquements constatés.
