Trop laxiste avec les données des Français, EDF doit payer une amende de 600.000 euros
François Manens
Ce contenu est réservé aux abonnés La Tribune

EDF va devoir s'acquitter d'une amende de 600.000 euros
GONZALO FUENTES
François Manens
Ce contenu est réservé aux abonnés La Tribune

EDF va devoir s'acquitter d'une amende de 600.000 euros
GONZALO FUENTES
L'autorité française des données, la Cnil, vient d'infliger une amende de 600.000 euros à EDF, suite à plusieurs plaintes déposées entre 2019 et 2020. Elle reproche au géant de l'électricité toute une liste de petites infractions, qui touchent à la fois une campagne de prospection commerciale et une partie de sa gestion de la sécurité des données clients.
Le montant de l'amende reste relativement faible par rapport à la puissance financière d'EDF - 84,5 milliards d'euros de chiffre d'affaires en 2021 - et à l'amende maximale prévue dans le règlement général sur la protection des données (RGPD) qui s'élève à 4% du chiffre d'affaires global. Il reflète la coopération de EDF avec l'autorité et ses efforts pour « se mettre en conformité sur tous les manquements qui lui étaient reprochés ».
En revanche, la Cnil n'avait pas l'obligation de rendre la sanction publique, mais elle le justifie par la nature et le nombre de manquements commis, ainsi que par le nombre de personnes touchées par les violations (plusieurs millions). L'autorité des données fait ainsi d'EDF un exemple pour d'autres : ce n'est pas parce que les infractions paraissent faibles qu'elles seront ignorées.
À lire également
Le premier manquement sanctionné par la Cnil touche le recueil du consentement de personnes visées par une campagne de prospection commerciale par email entre 2020 et 2021. L'entreprise avait fait appel à un courtier en données (ou data broker) c'est-à-dire un revendeur de données. Ce dernier avait effectivement recueilli le consentement des utilisateurs, mais la liste des destinataires de ces données, c'est-à-dire le cadre exact dans lequel elles seraient utilisées- n'était pas précisé, ce qui est contraire à la loi. La Cnil estime de plus que les mesures mises en place par EDF pour s'assurer que le consentement était valablement donné par les personnes au courtier étaient insuffisantes. Concrètement, elle ne vérifiait pas les formulaires de recueil du consentement et ne réalisait pas d'audit sur les courtiers auxquels elle faisait appel.
François Manens