Protection des données personnelles en matière de prospection commerciale : la CNIL sanctionne EDF

L’entrée en vigueur du RGPD il y a maintenant plus de quatre ans a considérablement accru l’intérêt des citoyens pour la protection des données personnelles. Cet essor se traduit concrètement par le nombre de saisines adressées à la CNIL : l’autorité indiquait ainsi en 2021, à l’occasion de son rapport d’activité pour l’année 2020, que le nombre de plaintes avait augmenté de 62,5 % depuis l’entrée en vigueur de la norme européenne.

Or si cet intérêt s’est considérablement développé, les entreprises – y compris les plus grandes – ont parfois des difficultés à être en parfaite conformité avec les exigences du texte. La société EDF l’a récemment appris à ses dépens, la CNIL ayant prononcé à son égard une amende administrative de 600 000 €, au terme d’une délibération du 24 novembre 2022 qui fait l’objet du présent commentaire. Cette sanction fait suite à plusieurs plaintes adressées à l’autorité de contrôle française. Un contrôle en ligne et un contrôle sur pièces ont été réalisés et une rapporteure a été désignée afin d’instruire le dossier.

Les manquements relevés sont conséquents, d’un point de vue qualitatif comme quantitatif. Toutefois, la sanction a été adaptée à la réaction de l’entreprise.

Les manquements

Les manquements sont identifiés à quatre égards : le recueil du consentement de la personne concernée, l’obligation d’information, l’exercice des droits des personnes et la sécurité des données.

Sur le recueil du consentement de la personne concernée

Il existe des règles particulières, applicables en matière de prospection commerciale. Le système retenu est celui de l’opt-in, qui suppose que le consentement de la personne concernée ait été recueilli en amont (v. not., CPCE, art. L. 34-5). Dans la présente espèce, EDF est passée par des courtiers en données et n’est pas parvenue à démontrer, selon la rapporteure, que le consentement a bien été recueilli en amont. Or comme le rappelle la CNIL, si le principe est que le consentement soit recueilli par le primocollectant (ici donc le courtier en données), c’est à défaut à l’organisme qui prospecte de le faire avant – c’est l’essence même de la règle de l’opt-in – tout démarchage. À cet égard, l’entreprise n’est pas en mesure de démontrer le recueil ex ante. Par ailleurs, ledit consentement doit être éclairé, de sorte que les personnes concernées doivent notamment avoir été informées quant à l’identité du prospecteur pour le compte duquel intervient le courtier et quant aux finalités de la collecte.

La CNIL rappelle que le respect d’une telle obligation suppose la tenue d’« une liste exhaustive et mise à jour ». Or là encore, l’entreprise n’est pas en mesure de démontrer la réalité...