CNIL – EDF – SAN-2022-021

Décision

Autorité:

CNIL ou équivalent

Numéro:

SAN-2022-021

Nom:

EDF

Date:

24 novembre 2022

Pays:

France

Lien:

Cliquer ici

Contexte

Dans le cadre des services fournis par la société, des données à caractère personnel de ses clients et de ses prospects sont traitées. Fin décembre 2020, la société comptait dans ses bases de données 25,7 millions de clients pour la fourniture d’électricité, de gaz et de services et environ […] prospects, s’agissant du marché des particuliers. la CNIL a été saisie de plusieurs plaintes à l’encontre de la société EDF, portant sur l’exercice des droits entre août 2019 et décembre 2020.

La CNIL a , en réponse, ouvert une enquête et diligenté des contrôles. Le 23 juin 2022, la rapporteure a fait notifier à la société un rapport détaillant les manquements au RGPD qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative au regard des manquements constitués aux articles 7, paragraphe 1, 12, 13, 14, 15, 21 et 32 du RGPD et L. 34-5 du code des postes et des communications électroniques (ci-après " le CPCE "). Il proposait également qu’une injonction de mettre en conformité le traitement avec les dispositions des articles 7, paragraphe 1, 14 et 32 du RGPD et L. 34-5 du CPCE, assortie d’une astreinte, soit prononcée.

Apport(s)
Prospection commerciale - Collecte indirecte des données des prospects - 1) Modalités et preuve du recueil du consentement - 2) Information des personnes Extrait(s) pertinent(s)22. En premier lieu, la formation restreinte rappelle que, lorsque les données des prospects n’ont pas été collectées directement auprès d’eux par l’organisme qui prospecte, le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l’organisme qui réalisera les opérations de prospection ultérieures. À défaut, il revient à l’organisme qui prospecte de recueillir un tel consentement avant de procéder à des actes de prospection. Au regard des dispositions de l’article 7, paragraphe 1, du RGPD, le prospecteur doit alors être en mesure de prouver qu’il dispose de ce consentement. Article(s) du RGPD Article 6 – Licéité du traitement Article 7 – Conditions applicables au consentement Fait référence à Autres informations
Prospection commerciale - Information des personnes concernées - Liste exhaustive et mise à jour des prestataires et fournisseurs - Inclusion Extrait(s) pertinent(s)22. [...] En outre, pour que le consentement soit éclairé, les personnes doivent notamment être clairement informées de l’identité du prospecteur pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. Pour ce faire, une liste exhaustive et mise à jour doit être tenue à la disposition des personnes au moment du recueil de leur consentement, par exemple directement sur le support de collecte ou, si celle-ci est trop longue, via un lien hypertexte renvoyant vers ladite liste et les politiques de confidentialité des prestataires et fournisseurs. Article(s) du RGPD Article 13 – Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée Article 14 – Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne Article 15 – Droit d’accès de la personne concernée Fait référence à Autres informations
Caractère suffisant des mesures de sécurité - 1) Critères d’appréciation - Analyse de risques - 2) Politique d’authentification robuste - Stockage des mots de passe - Fonction de hachage MD5 - Algorithme faible Extrait(s) pertinent(s)62. [...] Le responsable de traitement est tenu de s’assurer que le traitement automatisé de données qu’il met en œuvre est suffisamment sécurisé. Le caractère suffisant des mesures de sécurité s’apprécie d’une part, au regard des caractéristiques du traitement et des risques qu’il induit, d’autre part, en tenant compte de l’état de connaissances et du coût des mesures. La mise en place d’une politique d’authentification robuste constitue une mesure élémentaire de sécurité qui participe généralement au respect des obligations de l’article 32 du RGPD. Ainsi, il est nécessaire de veiller à ce qu’un mot de passe permettant de s’authentifier sur un système ne puisse pas être divulgué. 64. Le recours à la fonction de hachage MD5 pour stocker des mots de passe n’est plus considéré comme à l’état de l’art depuis 2004. Ainsi, l’utilisation de cet algorithme permettrait à une personne ayant connaissance du mot de passe haché de déchiffrer celui-ci sans difficulté en un temps très court [...]. 65. Or, la formation restreinte constate que, jusqu’à juillet 2022, les mots de passe de plus de 25 800 comptes étaient conservés de manière non sécurisée, avec la fonction de hachage MD5. Dans ces conditions, eu égard aux risques encourus par les personnes, la formation restreinte considère que la société a manqué aux obligations qui lui incombent en vertu de l’article 32 du RGPD. Article(s) du RGPD Article 32 – Sécurité du traitement Fait référence à Autres informations

Références

Cette décision cite...

Cette décision est citée par...

> CNIL – Doctissimo – SAN-2023-006

11 mai 2023

Signaler une erreur / Faire une suggestion