RGPD : EDF écope d’une amende de 600 000 euros de la Cnil

La Cnil a sanctionné EDF d’une amende de 600 000 euros après avoir constaté plusieurs manquements de la part du premier fournisseur d’électricité en France en matière de prospection commerciale, droits aux personnes face à leurs données personnelles et de sécurisation des mots de passe.

Partager
RGPD : EDF écope d’une amende de 600 000 euros de la Cnil

EDF se fait taper sur les doigts. Dans une décision datée du 24 novembre mais rendue publique mardi, la Cnil a sanctionné la société d’une amende de 600 000 euros pour avoir failli à plusieurs de ses obligations prévues à la fois par le RGPD mais aussi le code des postes et des communications électroniques (CPCE).

Le montant de cette amende a été décidé au regard des manquements retenus, ainsi qu’en tenant compte de la coopération de la société et de l’ensemble des mesures qu’elle a prises au cours de la procédure pour se mettre en conformité sur tous les manquements qui lui étaient reprochés”, a indiqué le régulateur français.

La Cnil s’est penchée sur la société EDF début 2021, après avoir été saisie de plusieurs plaintes de particuliers qui portaient sur l’exercice de leurs droits, alors que l’entreprise française comptait dans ses bases de données, fin 2020, 25,7 millions de clients.

Prospection commerciale abusive

Au terme de la procédure, la formation restreinte de l’autorité a ainsi retenu plusieurs manquements. Il a d’abord été reproché à EDF ses pratiques en matière de prospection commerciale par voie électronique. Alors que la société opérait ses campagnes sur la base de prospects obtenus par des courtiers en donnée, EDF n’a pas été capable d’apporter la preuve que ces personnes avaient donné leur consentement pour un tel démarchage.

Mais les vérifications de la Cnil ont également mis en lumière plusieurs manquements en matière d’information et de respect des droits des personnes. Le gendarme de la vie privée français a ainsi pointé du doigt une “charte de protection des données personnelles” lacunaire et des défaillances dans les réponses apportées aux individus souhaitant exercer leur droit d’accès aux données et leur droit d’opposition.

Hachage et salage

Mais le régulateur français a surtout considéré qu’EDF avait failli à son obligation d’assurer la sécurité des données personnelles, alors que les mots de passe permettant d’accès à l’espace client du portail "prime énergie" de 25 800 de ses clients étaient conservés de manière non sécurisée jusqu’à cet été, avec la fonction de hachage MD5, techniquement dépassée et donc ne fournissant plus une sécurité adéquate.

Ces mécanismes sont utilisés en cryptographie et permettent de vérifier rapidement l’exactitude et l’intégrité d’une information dans une énorme masse de données. Pour renforcer cette protection, il est par ailleurs possible d'introduire une couche de "salage" — l’ajout de caractères aléatoires avant le hachage pour empêcher qu’un mot de passe ne soit découvert en comparant des hachages provenant de bases différentes.

Sauf qu'au cours de son contrôle, la Cnil a observé que "si 11 241 166 mots de passe de comptes sont bien hachés et salés, 2 414 254 mots de passe de comptes sont hachés uniquement, sans avoir été salés", peut-on lire dans sa délibération. Bien qu'EDF ait depuis remédié à la situation, l’autorité a estimé que la société avait manqué à ses obligations en n’utilisant pas systématiquement un "sel" dans la transformation des mots de passe. La Cnil a renoncé à prononcer une injonction de mise en conformité assortie d’une astreinte, compte tenu des efforts et des mesures déjà prises par la société pour palier ses manquements.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS