EDF est condamnée par la formation restreinte de la CNIL pour plusieurs manquements au RGPD, avec une amende administrative de 600 000 euros à la clé. Plus que le résultat, le raisonnement et le détail des points soulevés par la CNIL sont intéressants à analyser.
La CNIL explique avoir été « saisie de plusieurs plaintes à l’encontre de la société EDF, portant sur l’exercice des droits entre août 2019 et décembre 2020 ». La Commission a effectué un contrôle en ligne du site www.edf.fr le 15 février 2021. Un questionnaire était envoyé quelques semaines plus tard (le 25 mars) auquel EDF a répondu le 29 avril. Des échanges complémentaires se sont déroulés jusqu’en septembre.
En juin de cette année, la rapporteure proposait à la formation restreinte de la CNIL de prononcer « une amende administrative au regard des manquements » et de rendre la décision publique pendant deux ans. Après de nouveaux échanges pendant quelques semaines, le contradictoire était clos mi-septembre.
Afin de planter le décor, la CNIL rappelle que, « fin décembre 2020, la société comptait dans ses bases de données 25,7 millions de clients pour la fourniture d’électricité, de gaz et de services », soit l’équivalent de 40 % de la population française environ, excusez du peu.
Surprise (ou pas) : un formulaire non rempli ne vaut pas consentement
Dans la délibération de la formation restreinte, le premier manquement concerne « l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de prospection commerciale par voie électronique ». Problème, suite à des opérations de ce genre, la société n’était « pas en mesure de disposer et d’apporter la preuve d’un consentement valablement exprimé par les prospects dont les données proviennent de courtiers en données avant d’être démarchées » .
Ce n’est pas tout. Dans le cadre de l’instruction de trois plaintes, EDF n’a pu obtenir du courtier des éléments prouvant que le recueil du consentement avait bien été réalisé : « le courtier en données a produit le formulaire type, et non le formulaire rempli individuellement par chaque prospect ».
Pour sa défense, EDF expliquait que les prospections exploitant des données collectées auprès de courtiers « sont très ponctuelles et visent un nombre non significatif de prospects ». Elle ajoutait avoir « toujours strictement encadré ses relations contractuelles avec les courtiers en données auxquels elle fait appel et que des échanges fréquents avaient lieu, même s’ils n’étaient pas nécessairement formalisés sous forme d’audits ». Enfin, elle affirmait « que les données déjà collectées dans le cadre de campagnes précédentes ont été supprimées ». Depuis novembre 2021, des audits formalisés sont en place pour éviter que cela ne se reproduise.
Quoi qu’il en soit, la CNIL « considère dès lors que les mesures mises en place par la société EDF pour s’assurer auprès de ses partenaires que le consentement a été valablement donné par les prospects avant d’être démarchés étaient insuffisantes ». EDF a « méconnu ses obligations résultant des articles L. 34-5 du CPCE et 7, paragraphe 1, du RGPD ».
EDF joue la carte de la refonte en cours
La deuxième série de reproches concerne le manquement à l’obligation d’information des personnes. Il s’agit des articles 13 et 14 du RGPD qui disposent que des informations doivent être communiquées aux personnes concernées, notamment « les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ».
La rapporteure explique que « la base légale n’était pas mentionnée et les durées de conservation des données n’étaient pas développées de manière suffisamment précise ». De plus, « les personnes démarchées par voie postale par la société n’étaient pas informées de la source précise de leurs données à caractère personnel, à savoir l’identité de la société auprès de laquelle EDF les a obtenues ».
La société concède que sa charte de protection des données personnelles contenait l’ensemble des données au titre de l’article 13 du RGPD, mais reconnait que seules « certaines durées de conservation étaient mentionnées ». EDF ajoute qu’une refonte des durées de conservation était en cours lors du contrôle en ligne : « elle considère qu’il n’était donc pas possible d’indiquer l’ensemble des durées de conservation, puisque celles-ci étaient en cours de revue et de modification ».
Des informations vagues et imprécises
L’argument ne fait pas mouche auprès de la formation restreinte : « il n’en demeure pas moins que, au moment de ces constatations, ladite charte précisait " Nous ne conservons vos données que pendant la durée nécessaire à leur traitement selon la finalité qui a été fixée " ». Une information « vague et imprécise », insuffisante pour garantir un traitement équitable et transparent.
Dans ses courriers, EDF indiquait que les données ont été collectées auprès d’un « organisme spécialisé dans l’enrichissement de données ». C’est l’article 14 du RGPD dont il est question ici. Pour la CNIL, cela manque de précision, car cette information ne permet pas de « garantir un traitement équitable et transparent […] en particulier dans un contexte de reventes successives de données entre de multiples acteurs et dans l’hypothèse où le prospect souhaiterait exercer ses droits auprès du courtier en données dont il ignore l’identité ».
C’est donc un combo perdant des articles 13 et 14 sur l’obligation d’information des personnes. La CNIL note néanmoins que dans le premier cas, EDF détaille les bases légales et durées de conservation dans sa charte évoquée, tandis que dans le second elle a « modifié les mentions d’information figurant dans les courriers de prospection ».
Des manquements sur l’obligation de transparence
On enchaine avec des manquements sur l’exercice des droits des personnes, en lien avec les articles 12, 15 et 21. Premier point abordé : l’obligation de transparence. La CNIL se base sur deux saisines pour affirmer que la société n’a pas respecté ce point du RGPD :
« S’agissant de la première saisine, la rapporteure a relevé que la société EDF avait contacté le plaignant par téléphone pour lui apporter une réponse, sans lui adresser d’écrit, en violation de l’article 12, paragraphe 1, du RGPD. En outre, la réponse qui lui a été apportée sur l’organisme à l’origine des données était erronée. Enfin, la société a répondu à ses questions, de nouveau par téléphone, plus de neuf mois plus tard.
S’agissant de la seconde saisine, la rapporteure a relevé que la société avait clôturé la demande du plaignant au lieu de la transmettre au service en charge des demandes d’exercice de droits et n’avait pas répondu […]. Ce n’est que six mois après sa demande initiale – dans le cadre de la procédure de contrôle – qu’une réponse a été apportée au plaignant ».
Dans le premier cas, EDF plaide « l’erreur humaine commise par le conseiller, lequel n’a pas suivi les procédures internes ». Concernant les retards, elle met en avant un « contexte particulièrement difficile à la fois de la crise sanitaire, qui a conduit à un accroissement du nombre de demandes d’exercice de droit, et de report de la fin de la trêve hivernale au 1er septembre 2020 ». La CNIL en prend note, mais considère tout de même « que le manquement à l’article 12 du RGPD est constitué ».
Article 15 : CNIL 1 - EDF 1, balle au centre
On continue avec l’obligation de respecter le droit d’accès, là encore la CNIL se base sur deux saisines. Dans la première, la première réponse apportée au plaignant par téléphone sur la source des données collectées était erronée. La société reconnait que la réponse était « en partie inexacte » à cause d’une erreur sur la source des données.
Sur la seconde saisine, la société affirmait à une personne « qu’elle n’avait aucune autre donnée la concernant que son prénom et son nom dans ses bases de données ». Problème pour la rapporteure, cette affirmation était inexacte : la société devait au moins avoir son (ancienne) adresse « pour effectuer le rapprochement avec les nom et prénom de la plaignante, puisque la société EDF lui a adressé un courrier au domicile de ses parents ».
Pour EDF par contre, la réponse du conseiller était correcte « puisque les seules données rattachables à la plaignante étaient ses nom et prénom ». Pour la formation restreinte (qui a suivi la proposition de la rapporteure), « le manquement invoqué n’est pas caractérisé ».
On termine avec le droit des personnes avec l’article 21. Selon la rapporteure et une saisine, la société n’a pas pris en compte l’opposition d’un plaignant « au traitement des données à caractère personnel de son fils mineur à des fins de prospection commerciale ». Il a en effet reçu un second courrier. EDF reconnait un cafouillage interne : « le conseiller a bien procédé à l’effacement des données comme il l’avait indiqué par téléphone au plaignant, mais n’a pas complètement suivi la procédure interne en ne procédant pas à l’opposition avant d’effacer les données ».
La procédure est désormais simplifiée. Les faits n’étant pas contestés, ils constituent donc un manquement au titre de l’article 21 du RGPD.
Quand EDF utilisait encore MD5 en 2022
Enfin, dernier manquement : l’obligation d’assurer la sécurité des données (article 32). Sur son portail prime énergie, des mots de passe « étaient stockés au moyen de la fonction de hachage MD5 », complètement dépassée aujourd’hui.
EDF affirme pour sa défense que, « depuis janvier 2018, la fonction de hachage SHA-256 est utilisée », mais que, « jusqu’à juillet 2022, les mots de passe de plus de 25 800 comptes étaient conservés de manière non sécurisée, avec la fonction de hachage MD5 ».
L’entreprise se défausse sur un prestataire et tente d’éteindre l’incendie (sans convaincre) : « Le hachage MD5 correspond uniquement au niveau de hachage mis en place historiquement par la société […], sous-traitant d’EDF, et pour lequel seuls quelques milliers de comptes étaient encore concernés en avril 2021. La société ajoute que ces mots de passe étaient tout de même stockés avec la robustesse du mécanisme supplémentaire d’aléa (salage), empêchant les attaques par tables précalculées ».
Peu sensible à ces arguments, la CNIL rappelle que « le recours à la fonction de hachage MD5 par la société n’est plus considéré depuis 2004 comme à l’état de l’art et son utilisation en cryptographie ou en sécurité est proscrite ». EDF n’a que 18 ans de retard.
Le hachage de 2,4 millions de mots de passe manque de sel
Sur l’espace client EDF, ce n’est pas franchement mieux. Selon les déclarations initiales de la société, les mots de passe « étaient stockés sous forme hachée et salée au moyen de la fonction SHA-1, pourtant réputée obsolète ». Lors de sa défense, l’entreprise revient sur sa déclaration et explique que l’algorithme « est en réalité SHA-512 complété d’un mécanisme d’ajout d’aléa (salage) depuis le 17 mai 2017, et non SHA-1, contrairement à ce qu’elle avait pu indiquer à la délégation de contrôle ».
Il reste un problème pour la rapporteure : « si 11 241 166 mots de passe de comptes sont bien hachés et salés, 2 414 254 mots de passe de comptes sont hachés uniquement, sans avoir été salés ». Cette faiblesse a été corrigée et désormais « il n’existe plus à ce jour aucun mot de passe haché en SHA-512 sans mécanisme d’ajout d’aléa (salage) ». EDF ne conteste donc pas le manquement de l’article 32, « mais demande à ne pas être sanctionnée dans la mesure où elle a dorénavant remédié au manquement ».
La « bonne volonté » ne suffit pas à effacer l’ardoise
Enfin la formation restreinte détaille sa réflexion sur les mesures correctrices et leur publicité. Sans surprise, EDF met en avant sa « bonne volonté et les efforts dont elle a fait preuve tout au long de la procédure » pour demander à la formation restreinte de « ne pas prononcer de sanction financière ou à tout le moins à réduire très significativement le montant de l’amende proposée par la rapporteure ». Pour la CNIL, « une amende administrative d’un montant de 600 000 euros apparaît justifiée ».
Pas d’injonction de mettre en conformité néanmoins, car « la société a pris des mesures de mise en conformité s’agissant de l’ensemble des manquements relevés par la rapporteure ». Enfin, EDF demandait « de ne pas la publier ou, à titre subsidiaire, de l’anonymiser immédiatement ou au plus tard dans un délai de huit jours » la décision de sanction.
La formation restreinte de la CNIL n’est pas sur la même longueur d’onde : « la publicité de la sanction se justifie au regard de la nature et du nombre de manquements commis, ainsi que du nombre de personnes concernées par lesdites violations, en particulier plus de 2 400 000 clients s’agissant du manquement à la sécurité des données ». La décision sera anonymisée après un délai de deux ans.
