Par Anne-Charlotte Andrieux et Théophile Tsimaratos
Le 23 juin 2022, la CNIL a condamné un fournisseur d’électricité à une amende d’un million d’euros pour plusieurs violations à la règlementation sur les données personnelles.
Saisi par plusieurs plaintes de particuliers, le gendarme français de la donnée a constaté que l’entreprise proposait, par le biais de son site internet, un formulaire de souscription à un contrat d’énergie dans lequel le client consentait à l’utilisation de ses données personnelles afin de recevoir des offres commerciales, sans avoir la possibilité de s’y opposer.
Si la CNIL constate que le fournisseur d’électricité a réalisé des efforts pour se mettre en conformité tout au long de la procédure, elle a tout de même décidé d’infliger une double peine au géant de l’énergie :
La CNIL assure sa mission régulatrice et continue de forcer les grandes entreprises françaises à rentrer dans le rang. En rendant publique cette décision, l’autorité administrative envoie un message à plusieurs acteurs :
Pour motiver sa décision, la CNIL démontre que le fournisseur d’électricité s’est rendue coupable de quatre manquements majeurs au droit des données personnelles :
Pour démontrer le défaut d’information opéré par le fournisseur d’électricité, la CNIL a analysé plus de 84 échanges téléphoniques enregistrés, entre autant de clients et trois conseillers.
Ces appels ont été effectués dans le cadre de campagnes de prospection réalisées à partir de données collectées par la société auprès de ses partenaires fournisseurs de données de prospects. Il ressort de ces enregistrements que, dans certains cas, les personnes contactées n’ont bénéficié d’aucune information relative à la protection de leurs données au cours de l’appel avec leur conseiller.
Pour démontrer la violation de l’article 12 du RGPD par le fournisseur d’électricité, la CNIL se fonde sur quatre plaintes émises par des clients particuliers, qui rencontraient des difficultés dans l’exercice de leurs droits.
L’autorité administrative observe qu’il ressort des constats effectués lors de la procédure de contrôle, que si la société a pris en compte les demandes, elle n’y a apporté des réponses satisfaisantes que tardivement, au-delà du délai d’un mois prévu par le texte, souvent après plusieurs relances du plaignant et engagement de la procédure de contrôle.
Pour caractériser une violation du droit d’accès, garanti par l’article 15 du RGPD, la CNIL se fonde sur huit plaintes. Les personnes concernées faisaient état de difficultés dans l’exercice de ce droit, alors même que leurs demandes avaient bien été réceptionnées.
Les demandes adressées au fournisseur d’électricité portaient sur l’accès aux données à caractère personnel et plus particulièrement sur leur origine ainsi que l’accès aux enregistrements des conversations téléphoniques.
Les constats effectués par la CNIL lors de la procédure de contrôle montrent que la société n’a pas apporté de réponse aux demandeurs ou a apporté des réponses tardives ou erronées.
Le fournisseur d’électricité s’est également rendu coupable d’une violation du droit d’opposition. La CNIL se fonde sur six plaintes dans le cadre desquelles les plaignants faisaient état de leurs difficultés dans l’exercice de leur droit d’opposition à la prospection commerciale.
Ici, les plaignants n’ont soit pas obtenu de réponse à leurs demandes d’opposition, soit ont été informés de l’accueil favorable de leurs demandes par la société qui a ensuite assuré avoir supprimé les données, mais sans mettre en œuvre les mesures permettant de satisfaire leurs demandes d’opposition.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de vingt-cinq ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit et notamment en matière de protection des données personnelles. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Pour en savoir plus, contactez-nous ici.
[1] Article 14 – Règlement UE n°2016/679
[2] Article 12 – Règlement UE n°2016/679
[3] Article 15 – Règlement UE n°2016/679
[4] Article 21 – Règlement UE n°2016/679