CNIL et TOTALENERGIES

La CNIL a prononcé, en formation restreinte, une amende de 1 million d’euros contre la société TOTALENERGIES ELECTRICITE E GAZ pour non respect des droits des personnes.

La CNIL avait reçu des plaintes de clients ou anciens clients de la société qui avaient demandé expressément à accéder à leurs données personnelles et souhaitaient s’opposer à tout appel de prospection commerciale, sans succès.

Des controles ont été opérés par la CNIL qui ont conforté le non respect des droits d’accès et d’opposition, justifiant la sanction prononcée.

Il a notamment été constaté un manquement à l’obligation de permettre aux personnes de s’opposer à de la prospection commerciale car le formulaire de souscription du contrat d’énergie ne permettait pas à l’internaute de s’opposer à l’utilisation de ses données personnelles afin de recevoir ultérieurement des offres commerciales.

Par ailleurs le droit à l’information n’était pas non plus respecté car les informations essentielles concernant le traitement de leurs données n’étaient pas communiquées aux personnes contactées. En outre, la société n’a pas tenu compte des demandes des clients en ne répondant pas aux demandes d’accès ou aux demandes d’opposition à prospection commerciale.

Il est pourtant prévu un délai de réponse de 1 mois par le RGPD.

Texte reference

Délibération de la formation restreinte n°SAN-2022-011 du 23 juin 2022 concernant la société TOTALENERGIES ELECTRICITÉ ET GAZ France 

CNIL et FACEBOOK

La CNIL vient de clôturer l’injonction qu’elle avait prononcé contre FACEBOOK depuis le 31/12/2021.

En effet, le 31 décembre dernier, la CNIL condamnait la société FACEBOOK IRELAND LIMITED, devenue META PLATFORMS IRELAND LIMITED à une amende de 60 millions d’euros et lui adresser une injonction de mise en conformité sous astreinte de 100 000 euros par jour de retard.

Cette injonction portait sur la possibilité offerte aux utilistauers du réseau social de refuser les cookies aussi facilement que de les accepter.

Un délai de 3 mois était accordé à FACEBOOK pour se mettre en conformité, sous peine de devoir payer une astreinte de 100 000,00 € par jour de retard, passé ce délai.

La société META PLATFORMS IRELAND LIMITED a mis en place un bouton de refus intitulé « Uniquement autoriser les cookies essentiels » au-dessus du bouton d’acceptation intitulé « Autoriser les cookies essentiels et optionnels », et a ainsi satsifait à l’injonction prononcée, la formation restreinte de la CNIL a donc décidé de clore la procédure le 11 juillet 2022.

DONNEES PERSONNELLES – QUELS DROITS POUR LES PERSONNES CONCERNEES?

En matière de protection des données personnelles, il existe plusieurs droits pour les personnes concernées par la collecte de leurs données.

Il y a d’abord le droit à l’information et le consentement.

Pour être loyale et licite, la collecte de données personnelles doit s’accompagner d’une information préalable à la collecte, claire et précise des personnes sur :

  • l’identité du responsable du fichier ;
  • la finalité du fichier ;
  • le caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse ;
  • les destinataires des données ;
  • leurs droits (droit d’accès, de rectification, et d’opposition) ;
  • les éventuels transferts de données vers des pays hors UE.

Lorsque le consentement est requis, notamment en cas de collecte de données sensibles, d’utilisation de données à des fins de prospection commerciale par voie électronique ou de réutilisation de données à d’autres fin, mais également pour l’utilisation de cookies, ce consentement doit être préalable, libre et spécifique.

Contrairement à une idée reçue, le consentement n’est pas toujours nécessaire pour la collecte de données personnelles. Le RGPD prévoit plusieurs bases justifiant la collecte de données. C’est notamment le cas d’un contrat. Pour l’application et l’exécution d’un contrat, la collecte de données personnelles peut être nécessaire. L’acceptation du contrat engendre l’acceptation de la collecte de ces données.

Les données collectées doivent être proportionnées au but recherché.

Il y a également les droits d’accès, de rectification, d’opposition.

Une fois que les données personnelles ont été collectées, la personne concernée a droit d’accéder aux informations qui la concerne, à en obtenir copie. Si elle constate des erreurs, elle peut exiger que ses données soient complétées, rectifiées ou mises à jour.

Elle peut également demander que ces données soient supprimées selon les cas, notamment lorsque les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou lorsque les données sont traitées de manière illégitime.

La personne peut s’opposer à ce que ses données soient réutilisées notamment à des fins commerciales.

Le principe veut que toute personne puisse s’opposer au traitement de ses données personnelles, et ce pour des raisons légitimes, sauf si cette collecte répond à une obligation légale (casier judiciaire, trésor public notamment).

Parfois, l’opposition empêche la signature ou la mise en œuvre d’un contrat

Après avoir exercé son droit d’accès, si la personne concernée le désire et que c’est techniquement possible, elle peut transmettre les données recueillies à un autre responsable de traitement. C’est le droit à la portabilité.

Pour plus de précisions, n’hésitez pas à consulter le site de la CNIL ou à contacter notre cabinet.

Respecter les droits des personnes | CNIL