La Cnil a prononcé une sanction d’1 million d’euros d’amende à l’égard de la société Total Energies électricité et gaz France pour violation des obligations en vigueur en matière de prospection commerciale et de droits des personnes [1].
Après avoir réceptionné plusieurs plaintes à l’encontre du fournisseur d’énergie, la Cnil a procédé à un contrôle. En effet, plusieurs personnes se plaignaient de :
- difficultés rencontrées dans la prise en compte de leurs demandes de droit d’accès aux données collectées, d’une part, et de
- l’impossibilité d’exercer leur droit d’opposition quant aux appels de prospection commerciale reçus, d’autre part.
Le droit d’opposition à la prospection commerciale
En substance, la Cnil constate que le fournisseur d’énergie propose sur son site web un formulaire de souscription. Ce dernier contient une mention par laquelle l’utilisateur donne automatiquement son accord à l’utilisation des données à des fins de prospection commerciale, sans possibilité de s’y opposer.
La Cnil relève que l’utilisateur ne peut pas exercer son droit d’opposition.
Or, l’article L.34-5 du Code des postes et des communications électroniques (CPCE) dispose que la personne doit être informée du fait qu’elle « accepte que des données à caractère personnel la concernant soient utilisées à des fins de prospection directe ».
Cette information est généralement délivrée à travers une formule générique :
- qui reprend les termes de la réutilisation des données,
- avec la possibilité de cocher ou non la case désignée à cet effet.
La Cnil souligne que cette mention aurait dû être accompagnée d’une modalité, telle que par exemple, une case à cocher afin de :
- permettre à l’utilisateur de s’opposer à l’utilisation de ses coordonnées à de telles fins,
- au moment du recueil de celles-ci.
De fait, cela constitue un manquement à l’obligation imposée par l’article L.34-5 du CPCE. Il est à noter que la Cnil a récemment publié un référentiel qui traite notamment de la prospection commerciale [2].
L’information relative aux droits des personnes
Dans le cadre de sa politique commerciale, le fournisseur d’énergie démarchait téléphoniquement des potentiels clients.
La formation restreinte de la Cnil observe que dans certains cas, les personnes contactées ne bénéficient d’aucune information relative à la protection de leurs données.
Or, l’article 13 du RGPD [3] impose au responsable du traitement de fournir une telle information aux personnes concernées, en leur précisant notamment leurs droits ainsi que les modalités d’exercice de ceux-ci.
Ainsi, la Cnil estime que le fait de contacter ces personnes à des fins de prospection commerciale, sans les informer de leurs droits, constitue un manquement à l’obligation d’information dont le responsable du traitement est débiteur.
Plus précisément, la formation restreinte de la Cnil remarque que :
« les personnes contactées n’ont bénéficié d’aucune information relative à la protection de leurs données au cours de l’appel » et que de surcroît, « la société n’offrait aucune possibilité aux personnes contactées d’accéder à une information plus complète, par exemple via l’activation d’une touche sur leur clavier téléphonique ».
En conséquence, la société n’a pas respecté son obligation d’information à l’égard des personnes concernées, contactées par téléphone ou par courriel.
Cette décision fait écho aux trois mises en demeure adressées par la Cnil à des sociétés pour non recueil du consentement des personnes, sous peine d’une amende administrative dont le montant peut aller jusqu’à 4 % du chiffre d’affaires de la société [4].
Le traitement des demandes d’exercice des droits
Par ailleurs, des plaignants qui faisaient état de difficultés pour exercer leurs droits ont saisi la Cnil.
Les demandes d’exercice des droits portaient sur trois types de demandes :
- la rectification d’adresse du consommateur,
- l’opposition au traitement des données à des fins de prospection commerciale
- l’origine des données à caractère personnel collectées.
Le rapporteur de la Cnil relève que, certes, le fournisseur d’énergie a effectivement répondu à ces demandes. Il n’y a cependant répondu que tardivement, c’est-à-dire au-delà du délai de 30 jours fixé par l’article 15 du RGPD. En défense, la société invoque le fait qu’il s’agissait seulement de quatre saisines, et donc de cas isolés ou complexes.
Ces arguments n’ont pas convaincu la formation restreinte de la Cnil. Elle considère que la société a violé les obligations découlant de l’article 15 du RGPD. Peu importe qu’elle ait finalement traité ces demandes et ait pris des mesures pour se mettre en conformité.
En effet, l’article 15 du RGPD impose au responsable du traitement un certains nombres d’obligations parmi lesquelles figurent :
- l’obligation de faire droit à une demande d’accès,
- en fournissant par exemple une copie des données personnelles faisant l’objet d’un traitement.
Le responsable du traitement a notamment la possibilité de fournir ces informations sous forme électronique en cas de demande effectuée par voie électronique.
L’analyse de la Cnil
Le rapporteur relève que les plaignants :
- n’ont pas obtenu de réponse à leurs demandes d’opposition formulées par lettres recommandées, et dont la société avait accusé réception ;
- ont été informés de la prise en compte de leurs demandes par la société qui leur a confirmé la suppression de leurs données à caractère personnel, mais sans mettre en œuvre les mesures permettant de satisfaire la demande. En effet, malgré l’exercice de leur droit d’opposition, les plaignants ont continué de recevoir des appels téléphoniques dans les mois ayant suivi leur demande.
La société a invoqué en défense le fait que certaines demandes non-traitées n’avaient pas été adressées à la cellule chargée de leur traitement.
La Cnil écarte cet argument au motif qu’il n’en demeure pas moins qu’il appartient à la société de traiter les demandes dans les délais prévus par le RGPD dès lors qu’elles sont claires en leurs termes, et qu’elles ont été bien réceptionnées par la société.
Le motif en défense invoqué par la société Total n’est donc pas suffisant pour que la société puisse échapper à ses obligations en matière de réponse à l’exercice, par les personnes, des droits que leur accorde le RGPD.
Frédéric Forster
Lexing Télécom
Valentin Cayré
Notes
[1] Cnil n° SAN-2022-11 du 23-06-2022
[2] Cnil référentiel relatif aux traitements de données personnelles mis en œuvre aux fins de gestion des activités commerciales
[3] Règl. UE 2016/679 du 27 avril 2016 , dit RGPD.
[4] Communiqué Cnil du 7 avril 2022.