Le 24 novembre 2022, la Commission nationale de l’informatique et des libertés (CNIL) a sanctionné la société EDF d’une amende de 600 000 euros, notamment pour ne pas avoir respecté ses obligations en matière de prospection commerciale et de droits des personnes.
Les faits
La CNIL a été saisie de plusieurs plaintes à l’encontre de la société EDF, portant sur l'exercice des droits entre août 2019 et décembre 2020. Elle a alors effectué un contrôle en ligne, et sur pièces par l’envoi d’un questionnaire à la société.
La rapporteure a fait notifier à la société, en juin 2022, un rapport détaillant les manquements au RGPD qu’elle estimait constitués en l’espèce.
Les manquements caractérisés
① Un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique
La rapporteure se fonde sur le fait qu'EDF réalise des opérations de prospection commerciale par voie électronique, et n’est pas en mesure de disposer et d’apporter la preuve d’un consentement valablement exprimé par les prospects, dont les données proviennent de courtiers en données. EDF a reconnu n’exercer aucun contrôle sur les formulaires de recueil utilisés, ni réaliser d’audits sur ses co-contractants.
Le principe est que la prospection directe au moyen de système automatisé par voie électronique est interdite si la personne concernée n'a pas donné son consentement (art. L. 34-5 du CPCE et 4.11 du RGPD).
Dans ce cas, le responsable de traitement doit démontrer que la personne concernée a donné son consentement pour le traitement de données personnelles l'a concernant (art. 7 du RGPD).
Même si les courtiers ont l'obligation de démontrer que la personne concernée a donné son consentement au traitement (puisque ce sont eux qui récupèrent les coordonnées des prospects), la CNIL considère qu'EDF doit s'assurer, après de ses partenaires, que le consentement a été valablement donné par les prospects avant d’être démarchés. Les mesures prises étaient donc insuffisantes.
② Un manquement à l’obligation d’information des personnes
Pour rappel, l’article 13 du RGPD dresse la liste des informations devant être communiquées par le responsable de traitement aux personnes concernées lorsque leurs données à caractère personnel sont collectées directement auprès d’elles, notamment les finalités du traitement, la base juridique du traitement et la durée de conservation.
L’article 14 du RGPD dresse quant à lui la liste des informations devant être communiquées par le responsable de traitement aux personnes concernées lorsque leurs données à caractère personnel n’ont pas été collectées auprès d’elles.
La CNIL a considéré que la charte de protection des données personnelles qui figurait sur le site web de la société ne précisait pas la base légale correspondant à chaque cas d’usage des données et était imprécise sur les durées de conservation (art. 13 du RGPD).
De plus, dans le premier courrier de prospection commerciale adressé par EDF aux personnes, la source des données n’était pas indiquée de façon suffisamment précise. EDF écrivait seulement que les « données ont été collectées auprès d’un organisme spécialisé dans l’enrichissement de données », sans indiquer précisément d’où provenaient les données (art. 14 du RGPD).
③ Des manquements en lien avec l’exercice des droits des personnes
Conformément aux articles 12 et 15 du RGPD, une personne peut obtenir du responsable du traitement l’accès aux données à caractère personnel la concernant. Il doit alors répondre à la demande de communication des données de la personne concernée dans les meilleurs délais et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande.
EDF a alors manqué aux obligations des articles 12 et 15 du RGPD, puisqu'il n’a pas répondu à certains plaignants dans le délai d’un mois prévu par les textes. De plus, il a donné à l'un des plaignants des informations erronées.
Conformément à l'article 21.2 du RGPD, la personne concernée a le droit de s'opposer au traitement de ses données à des fins de prospection.
EDF n’a pas pris en compte l’opposition à recevoir de la prospection commerciale, et a donc violé le droit des personnes découlant de l'article 21.2 du RGPD.
④ Un manquement à l’obligation d’assurer la sécurité des données personnelles
La rapporteure a relevé que les mots de passe à l’espace client étaient conservés de manière non sécurisée, avec la fonction de hachage MD5. La société se défend en expliquant que depuis le début de l’année 2022, elle n'utilise plus cette fonction, et qu'une ultime purge des mots de passe qui étaient encore stockés avec ce moyen a été réalisée.
La CNIL rappelle qu’il résulte des dispositions de l’article 32 du RGPD que le responsable de traitement est tenu de s’assurer que le traitement automatisé de données qu’il met en œuvre est suffisamment sécurisé. La mise en place d’une politique d’authentification robuste constitue une mesure élémentaire qui participe généralement au respect des obligations de cet article. Ainsi, il est nécessaire de veiller à ce qu’un mot de passe permettant de s’authentifier sur un système ne puisse pas être divulgué.
Dès 2013, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) alertait et rappelait les bonnes pratiques s’agissant de la conservation des mots de passe. D'après ses recommandations, les fonctions de hachage non robustes présentent des vulnérabilités connues qui ne permettent pas de garantir l’intégrité et la confidentialité des mots de passe en cas d’attaque par force brute après compromission des serveurs qui les hébergent.
L'utilisation en cryptographie ou en sécurité de la fonction de hachage MD5 par la société est donc proscrite (délibération SAN-2021-008 du 14 juin 2021).
Or, les mots de passe d’accès à l’espace client EDF de plus de 2,4 millions de comptes étaient uniquement hachés, sans avoir été salés (ajout de caractères aléatoires avant le hachage, pour éviter de retrouver un mot de passe par comparaison de hachages), ce qui les exposait à des risques.
De même, la Commission précise également dans sa délibération du 19 janvier 2017 (n° 2017-012), s'agissant des modalités de conservation, que le mot de passe ne doit jamais être stocké en clair. De ce fait, elle considère que les mots de passe de plus de 25 800 comptes étaient conservés de manière non sécurisée. EDF a donc manqué à l'obligation de sécurité de l'article 32 du RGPD.
Inscrivez-vous à notre prochain webinaire sur les mots de passe !
Qu'en retenir ?
- Il faut s'assurer, auprès de ses co-contractant, que le consentement a été valablement donné par les prospects avant d’être démarchés, dans le cadre d'une prospection directe au moyen de système automatisé par voie électronique.
- Il faut s'assurer de mentionner toutes les informations nécessaires pour les personnes concernées, et qu'elles soient développées de manière suffisamment précise.
- Lors de la demande de communication de ses données par une personne concernées, l'organisation doit répondre à cette demande dans un délai d'un mois, en apportant des informations correctes.
- En matière de prospection, l'organisme doit respecter l'opposition de la personne concernée à recevoir de la prospection commerciale.
- Concernant les mots de passe, la fonction de hachage n'est pas suffisante : il faut également saler les mots de passe, afin qu'ils ne soient pas stockés en clair. De plus, l'utilisation en cryptographie ou en sécurité de la fonction de hachage MD5 est aujourd'hui proscrite.
Nos ressources
🏷️ Webinaire : REPLAY : prospection commerciale, quelles règles ?
🏷️ Rappel : Quelles sont mes obligations en tant que responsable de traitement ?
🏷️ Guide : Comment répondre à une demande de portabilité des données ?
🏷️ Article : De nouvelles règles pour les mots de passe
🏷️ Modèle de traitement : Gestion des prospects