Le 23 juin 2022, la CNIL a condamné un fournisseur d'électricité à une amende d'un million d'euros pour plusieurs violations à la règlementation sur les données personnelles.

Saisi par plusieurs plaintes de particuliers, le gendarme français de la donnée a constaté que l'entreprise proposait, par le biais de son site internet, un formulaire de souscription à un contrat d'énergie dans lequel le client consentait à l'utilisation de ses données personnelles afin de recevoir des offres commerciales, sans avoir la possibilité de s'y opposer.

La CNIL inflige une amende d'un million d'euros à un fournisseur d'électricité

Si la CNIL constate que le fournisseur d'électricité a réalisé des efforts pour se mettre en conformité tout au long de la procédure, elle a tout de même décidé d'infliger une double peine au géant de l'énergie :

  • Une amende d'un million d'euros, dont le montant se justifie par la solidité financière de l'entreprise ;
  • La publicité de la décision de sanction.

La CNIL assure sa mission régulatrice et continue de forcer les grandes entreprises françaises à rentrer dans le rang. En rendant publique cette décision, l'autorité administrative envoie un message à plusieurs acteurs :

  • Aux entreprises: en leur rappelant que la négligence de leur mise en conformité peut les amener à payer le prix fort ;
  • Aux particuliers: en leur montrant que les droits qu'ils détiennent sur leurs informations personnelles ne sauraient être négligés.

Les violations du RGPD reprochées au fournisseur d'électricité

Pour motiver sa décision, la CNIL démontre que le fournisseur d'électricité s'est rendue coupable de quatre manquements majeurs au droit des données personnelles :

1. Un défaut d'information à fournir1:

Pour démontrer le défaut d'information opéré par le fournisseur d'électricité, la CNIL a analysé plus de 84 échanges téléphoniques enregistrés, entre autant de clients et trois conseillers.

Ces appels ont été effectués dans le cadre de campagnes de prospection réalisées à partir de données collectées par la société auprès de ses partenaires fournisseurs de données de prospects. Il ressort de ces enregistrements que, dans certains cas, les personnes contactées n'ont bénéficié d'aucune information relative à la protection de leurs données au cours de l'appel avec leur conseiller.

2. Un manque de transparence des informations2:

Pour démontrer la violation de l'article 12 du RGPD par le fournisseur d'électricité, la CNIL se fonde sur quatre plaintes émises par des clients particuliers, qui rencontraient des difficultés dans l'exercice de leurs droits.

L'autorité administrative observe qu'il ressort des constats effectués lors de la procédure de contrôle, que si la société a pris en compte les demandes, elle n'y a apporté des réponses satisfaisantes que tardivement, au-delà du délai d'un mois prévu par le texte, souvent après plusieurs relances du plaignant et engagement de la procédure de contrôle.

3. Le non-respect du droit d'accès 3:

Pour caractériser une violation du droit d'accès, garanti par l'article 15 du RGPD, la CNIL se fonde sur huit plaintes. Les personnes concernées faisaient état de difficultés dans l'exercice de ce droit, alors même que leurs demandes avaient bien été réceptionnées.

Les demandes adressées au fournisseur d'électricité portaient sur l'accès aux données à caractère personnel et plus particulièrement sur leur origine ainsi que l'accès aux enregistrements des conversations téléphoniques.

Les constats effectués par la CNIL lors de la procédure de contrôle montrent que la société n'a pas apporté de réponse aux demandeurs ou a apporté des réponses tardives ou erronées.

4. Le non-respect du droit d'opposition4:

Le fournisseur d'électricité s'est également rendu coupable d'une violation du droit d'opposition. La CNIL se fonde sur six plaintes dans le cadre desquelles les plaignants faisaient état de leurs difficultés dans l'exercice de leur droit d'opposition à la prospection commerciale.

Ici, les plaignants n'ont soit pas obtenu de réponse à leurs demandes d'opposition, soit ont été informés de l'accueil favorable de leurs demandes par la société qui a ensuite assuré avoir supprimé les données, mais sans mettre en Suvre les mesures permettant de satisfaire leurs demandes d'opposition.

Footnotes

1. Article 14 – Règlement UE n°2016/679

2. Article 12 – Règlement UE n°2016/679

3. Article 15 – Règlement UE n°2016/679

4. Article 21 – Règlement UE n°2016/679

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.