EDF est condamnée par la formation restreinte de la CNIL pour plusieurs manquements au RGPD, avec une amende administrative de 600 000 euros à la clé. Plus que le résultat, le raisonnement et le détail des points soulevés par la CNIL sont intéressants à analyser.
La CNIL explique avoir été « saisie de plusieurs plaintes à l’encontre de la société EDF, portant sur l’exercice des droits entre août 2019 et décembre 2020 ». La Commission a effectué un contrôle en ligne du site www.edf.fr le 15 février 2021. Un questionnaire était envoyé quelques semaines plus tard (le 25 mars) auquel EDF a répondu le 29 avril. Des échanges complémentaires se sont déroulés jusqu’en septembre.
En juin de cette année, la rapporteure proposait à la formation restreinte de la CNIL de prononcer « une amende administrative au regard des manquements » et de rendre la décision publique pendant deux ans. Après de nouveaux échanges pendant quelques semaines, le contradictoire était clos mi-septembre.
Afin de planter le décor, la CNIL rappelle que, « fin décembre 2020, la société comptait dans ses bases de données 25,7 millions de clients pour la fourniture d’électricité, de gaz et de services », soit l’équivalent de 40 % de la population française environ, excusez du peu.