600 000 € d’amende pour EDF

Publié le 13 décembre 2022

Recueil du consentement, obligation d’information, respect de l’exercice des droits d’accès et d’effacement, sécurité des données… Telles sont les obligations qu’EDF n’a pas respectées en matière de données personnelles. La Cnil (Commission nationale de l’informatique et des libertés) lui a infligé une amende de 600 000 €.

Nul n’est censé ignorer la loi, encore moins une grande entreprise française qui dispose des données personnelles de dizaines de millions de clients. La grande entreprise, c’est EDF. Et la loi dont il est question, c’est le RGPD (règlement général sur la protection des données), et aussi le CPCE (Code des postes et des communications électroniques). Lors de contrôles lancés suite à des plaintes de consommateurs, la Cnil (Commission nationale de l’informatique et des libertés) a constaté de graves manquements, qui ont donné lieu à une sanction de 600 000 €. Contacté par Que Choisir, EDF déclare « prendre acte » de cette décision et affirme « s’être mise en conformité avant la publication de la sanction sur l’essentiel des points qui lui sont reprochés ». Heureusement, parce que ces derniers sont assez graves.

D’abord, l’entreprise n’a pas pu démontrer qu’elle avait obtenu l’accord des personnes à qui elle a envoyé des courriels de prospection commerciale en 2020 et 2021. Le « recueil du consentement » est pourtant indispensable à toute sollicitation. Ensuite, EDF était allé un peu trop vite en rédigeant sa charte de protection des données personnelles, lacunaire en plusieurs points. En matière d’information, les entreprises ont des obligations très précises, comme par exemple quand il s’agit d’indiquer la durée pendant laquelle elles conservent les données. EDF n’a pas non plus répondu dans le mois qui lui est imparti à des clients qui ont souhaité savoir quelles données les concernant EDF avait dans ses bases. Enfin, le fournisseur d’énergie a manqué à ses obligations en matière de sécurité des données. Les mots de passe d’accès à l’espace client du portail « prime énergie » de plus de 25 000 comptes étaient conservés de manière non sécurisée jusqu’à juillet 2022. Et les mots de passe d’accès à l’espace client EDF de plus de 2,4 millions de comptes n’étaient pas suffisamment cryptés. Au moment du stockage, ils étaient bien « hachés » (une série de caractères calculés à la place du mot de passe), mais pas « salés » (ajout de caractères aléatoires avant le hachage, pour éviter de retrouver un mot de passe par comparaison de hachages). Une défaillance à faire pâlir n’importe quel expert en sécurité informatique.

Et de 300 000 € pour Free !

Quelques jours après la sanction d’EDF, la Cnil a épinglé Free pour des motifs similaires. Le fournisseur d’accès à Internet écope d’une amende de 300 000 €. Premier manquement, ne pas avoir pas tenu compte des demandes de clients qui souhaitaient accéder ou effacer leurs données personnelles. Deuxième manquement : avoir failli à assurer la sécurité des données de ses clients, en leur fournissant un mot de passe trop faible, qui plus est stocké en clair dans sa base de données. Pire, Free a aussi remis en circulation 4 100 Freebox ayant eu une première vie auprès d’anciens abonnés sans effacer les photos et vidéos personnelles ou l’enregistrement de programmes TV. « Nous regrettons la décision de la Cnil qui sanctionne des faits passés, intervenus durant les premiers mois de l’entrée en vigueur du RGPD fin 2018, début 2019 », a simplement réagi Free.