La formation restreinte de la Commission Nationale de l’Informatique et des Libertés (ci-après, « la CNIL ») a prononcé une amende de 600.000 euros contre le fournisseur d’électricité EDF pour manquement à plusieurs de ses obligations en matière de traitement de données à caractère personnel de ses clients prévues par le Règlement Général sur la Protection des Données (RGPD) et le Code des Postes et des Communications Electroniques (CPCE).

Parmi les manquements du fournisseur qui sont relevés, la CNIL constate :

• Un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (articles L. 34-5 du CPCE et 7 du RGPD) ;

• Des manquements à l’obligation d’information dans la charte de protection des données personnelles figurant sur le site d’EDF et dans le premier courrier de prospection commerciale adressé par l’entreprise (articles 13 et 14 du RGPD) et au respect de l’exercice des droits, notamment le droit d’accès aux données et le droit d’opposition des personnes concernées (article 12,15 et 21 du RGPD) ;

• Un manquement à l’obligation d’assurer la sécurité des données personnelles et notamment des mots de passe utilisés sur l’espace client « prime énergie » et l’espace client EDF (article 32 du RGPD).

En outre, la CNIL a estimé qu’au regard de la nature des manquements commis par EDF et du nombre de personnes concernées par ces manquements, c’est-à-dire plus de 2.400.000 clients pour le seul manquement relatif à la sécurité des données personnelles, la publication de la sanction était justifiée.