La CNIL a sanctionné le premier fournisseur d’électricité en France d’une amende de 600 000 euros, pour ne pas avoir respecté ses obligations en matière de prospection commerciale, de droits des personnes et de sécurité des données personnelles.
L’autorité a considéré que la société avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD) et le code des postes et des communications électroniques (CPCE). Les manquements constatés portent sur l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (articles L. 34-5 du CPCE et 7 du RGPD) et sur l’obligation d’information (articles 13 et 14 du RGPD) et au respect de l’exercice des droits (articles 12, 15 et 21 du RGPD)
Un manquement à l’obligation d’assurer la sécurité des données personnelles
La formation restreinte a également retenu un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD) constatant que :
-les mots de passe d’accès à l’espace client du portail « prime énergie » de plus de 25 000 comptes étaient conservés de manière non sécurisée jusqu’à juillet 2022 ;
-les mots de passe d’accès à l’espace client EDF de plus de 2,4 millions comptes étaient uniquement hachés (une série de caractères calculés à la place du mot de passe), sans avoir été salés (ajout de caractères aléatoires avant le hachage, pour éviter de retrouver un mot de passe par comparaison de hachages), ce qui les exposait à des risques.
