Recueil du consentement, obligation d’information, respect de l’exercice des droits d’accès et d’effacement, sécurité des données… Telles sont les obligations qu’EDF n’a pas respectées en matière de données personnelles. La Cnil (Commission nationale de l’informatique et des libertés) lui a infligé une amende de 600 000 €.
Ensuite, EDF était allé un peu trop vite en rédigeant sa charte de protection des données personnelles, lacunaire en plusieurs points. En matière d’information, les entreprises ont des obligations très précises, comme par exemple quand il s’agit d’indiquer la durée pendant laquelle elles conservent les données. EDF n’a pas non plus répondu dans le mois qui lui est imparti à des clients qui ont souhaité savoir quelles données les concernant EDF avait dans ses bases. Enfin, le fournisseur d’énergie a manqué à ses obligations en matière de sécurité des données. Les mots de passe d’accès à l’espace client du portail « prime énergie » de plus de 25 000 comptes étaient conservés de manière non sécurisée jusqu’à juillet 2022. Et les mots de passe d’accès à l’espace client EDF de plus de 2,4 millions de comptes n’étaient pas suffisamment cryptés. Au moment du stockage, ils étaient bien « hachés » (une série de caractères calculés à la place du mot de passe), mais pas « salés » (ajout de caractères aléatoires avant le hachage, pour éviter de retrouver un mot de passe par comparaison de hachages). Une défaillance à faire pâlir n’importe quel expert en sécurité informatique.
Et de 300 000 € pour Free !
« Nous regrettons la décision de la Cnil qui sanctionne des faits passés, intervenus durant les premiers mois de l’entrée en vigueur du RGPD fin 2018, début 2019 », a simplement réagi Free.