- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Institution administrative
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Loi et traité
- > Mariage - Divorce - Couple
- > Procédure civile
- > Profession juridique et judiciaire
- > Responsabilité
- > Société et association
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Toute la matière
- > Bien - Propriété
- > Citoyenneté - Nationalité - Étranger
- > Contrat et obligations - Responsabilité
- > Convention - Traité - Acte
- > Droit économique
- > Droit public
- > Environnement - Agriculture
- > Famille - Personne
- > Pénal
- > Principes - Généralités
- > Procédure
- > Propriété intellectuelle
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Propriété intellectuelle
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Droit international et communautaire
- > Etrangers
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Temps de travail
- Avocat
Article
Protection des données personnelles en matière de prospection commerciale : la CNIL sanctionne EDF
Protection des données personnelles en matière de prospection commerciale : la CNIL sanctionne EDF
Par une délibération du 24 novembre 2022, la CNIL a sanctionné EDF à hauteur de 600 000 € après avoir constaté des manquements importants aux obligations de l’entreprise telles que résultant notamment du RGPD.
par Julie Groffe-Charrierle 16 décembre 2022
L’entrée en vigueur du RGPD il y a maintenant plus de quatre ans a considérablement accru l’intérêt des citoyens pour la protection des données personnelles. Cet essor se traduit concrètement par le nombre de saisines adressées à la CNIL : l’autorité indiquait ainsi en 2021, à l’occasion de son rapport d’activité pour l’année 2020, que le nombre de plaintes avait augmenté de 62,5 % depuis l’entrée en vigueur de la norme européenne.
Or si cet intérêt s’est considérablement développé, les entreprises – y compris les plus grandes – ont parfois des difficultés à être en parfaite conformité avec les exigences du texte. La société EDF l’a récemment appris à ses dépens, la CNIL ayant prononcé à son égard une amende administrative de 600 000 €, au terme d’une délibération du 24 novembre 2022 qui fait l’objet du présent commentaire. Cette sanction fait suite à plusieurs plaintes adressées à l’autorité de contrôle française. Un contrôle en ligne et un contrôle sur pièces ont été réalisés et une rapporteure a été désignée afin d’instruire le dossier.
Les manquements relevés sont conséquents, d’un point de vue qualitatif comme quantitatif. Toutefois, la sanction a été adaptée à la réaction de l’entreprise.
Les manquements
Les manquements sont identifiés à quatre égards : le recueil du consentement de la personne concernée, l’obligation d’information, l’exercice des droits des personnes et la sécurité des données.
Sur le recueil du consentement de la personne concernée
Il existe des règles particulières, applicables en matière de prospection commerciale. Le système retenu est celui de l’opt-in, qui suppose que le consentement de la personne concernée ait été recueilli en amont (v. not., CPCE, art. L. 34-5). Dans la présente espèce, EDF est passée par des courtiers en données et n’est pas parvenue à démontrer, selon la rapporteure, que le consentement a bien été recueilli en amont. Or comme le rappelle la CNIL, si le principe est que le consentement soit recueilli par le primocollectant (ici donc le courtier en données), c’est à défaut à l’organisme qui prospecte de le faire avant – c’est l’essence même de la règle de l’opt-in – tout démarchage. À cet égard, l’entreprise n’est pas en mesure de démontrer le recueil ex ante. Par ailleurs, ledit consentement doit être éclairé, de sorte que les personnes concernées doivent notamment avoir été informées quant à l’identité du prospecteur pour le compte duquel intervient le courtier et quant aux finalités de la collecte.
La CNIL rappelle que le respect d’une telle obligation suppose la tenue d’« une liste exhaustive et mise à jour ». Or là encore, l’entreprise n’est pas en mesure de démontrer la réalité...
Sur le même thème
-
Réguler l’IA et protéger les créateurs : point de vue après la conférence de Namur des 8 et 9 avril 2024
-
Panorama rapide de l’actualité « Technologies de l’information » des semaines des 1er au 8 avril 2024
-
Panorama rapide de l’actualité « Propriété intellectuelle » des semaines du 25 mars au 15 avril 2024
-
Droit voisin des éditeurs de presse : Google de nouveau sanctionné par l’Autorité de la concurrence
-
Possibilité d’obtenir en référé la constatation de la résiliation de plein droit d’un contrat d’édition, faute d’exploitation permanente et suivie de l’ouvrage
-
Petite pause printanière
-
Panorama rapide de l’actualité « Propriété intellectuelle » des semaines du 18 au 25 mars 2024
-
Panorama rapide d’actualité « Technologies de l’information » de la semaine du 25 mars 2024
-
Statut d’artiste européen : la Commission se positionne enfin sur la résolution du Parlement européen
-
Loi sur les ingérences : l’Assemblée mise sur la surveillance et la transparence
Sur la boutique Dalloz
Code de la protection des données personnelles 2024, annoté et commenté
11/2023 -
6e édition
Auteur(s) : Collectif