La CNIL a diligenté des contrôles à la suite de plusieurs plaintes relatives à des difficultés des plaignants à exercer leurs droits auprès de TOTALENERGIES. L’instruction a démontré des manquements en matière de prospection commerciale et de traitement des demandes d’exercice de droits.
Entre le mois d’octobre 2019 et juillet 2020, la CNIL a été saisie de 27 plaintes à l’encontre de la société TOTALENERGIES.
Parmi les plaignants, 18 faisaient état de difficultés rencontrées dans l’exercice de leurs droits d’accès ou d’opposition à recevoir des appels téléphoniques de prospection commerciale.
Pour les besoins de l’instruction des plaintes, la CNIL a réalisé un contrôle en ligne ayant notamment pour objet de vérifier la gestion, par la société, des droits des personnes, en particulier le traitement des demandes d’exercice des droits, et de vérifier si l’information fournie par la société dans le cadre des opérations de prospection commerciale était conforme à l’article 14 du RGPD.
Les personnes concernées doivent avoir la possibilité de s’opposer à la prospection commerciale
La CNIL a constaté que TOTALENERGIES réutilisait les données personnelles des utilisateurs renseignées lors de la souscription à un contrat d’énergie, pour transmettre à ces derniers ses offres commerciales.
Le formulaire utilisé par TOTALENERGIES sur son site Internet contenait la mention suivante : « En renseignant les informations suivantes, vous reconnaissez donner votre accord à leur utilisation par Total Direct Energie pour vous présenter ultérieurement ses offres », sans possibilité pour l’utilisateur de s’y opposer.
Or, en matière de prospection commerciale, si le consentement n’est pas nécessaire pour adresser à un utilisateur des offres commerciales analogues aux produits et services que ce dernier avait sollicités, le responsable de traitement doit néanmoins offrir à l’internaute la faculté de s’opposer au traitement lors de la collecte des données personnelles et à chaque message de prospection[1].
Faute pour TOTALENERGIES d’avoir permis aux personnes concernées de s’opposer à la prospection commerciale, par exemple par le biais d’une case à cocher et d’une mention d’information adaptée, le manquement était caractérisé.
Dans le cadre de la procédure, TOTALENERGIES a procédé à des modifications en adoptant la mention « Veuillez cocher cette case si vous ne souhaitez pas que votre numéro de téléphone soit utilisé par TotalEnergies Electricité et Gaz de France pour vous aider à finaliser votre souscription et vous proposer ses offres et services » accompagnée d’une case à cocher permettant de s’opposer au traitement.
Manquement à l’obligation d’information lors du démarchage téléphonique
La CNIL s’était également intéressée au démarchage téléphonique conduit par TOTALENERGIES.
L’analyse d’un échantillon de 84 enregistrements d’appels téléphoniques a permis à la CNIL de constater que l’information délivrée aux personnes démarchées conformément à l’article 14 du RGPD était incomplète, voire parfois complètement absente[2].
En effet, dans les cas où l’information était fournie, certaines informations essentielles n’étaient pas portées à la connaissance des personnes concernées, telles que les finalités du traitement, l’existence des différents droits, le principe même de l’enregistrement de l’appel et le droit, pour la personne concernée, de s’y opposer.
La CNIL a ainsi relevé un manquement à l’article 14 du RGPD prévoyant l’obligation d’information des personnes concernées.
La société TOTALENERGIES a adopté des mesures correctrices en cours de procédure, en modifiant les consignes délivrées aux téléconseillers et en permettant aux utilisateurs d’obtenir des informations complémentaires en appuyant sur une touche du clavier du téléphone.
La CNIL a estimé que cette manière de procéder a permis à TOTALENERGIES de se mettre en conformité sur ce point.
Le responsable de traitement doit répondre aux demandes d’exercice de droits, même si elles ne sont pas adressées à la cellule dédiée
La CNIL a reçu 14 plaintes relatives à des difficultés rencontrées par les plaignants dans l’exercice de leur droit d’accès à leurs données personnelles, et de leur droit d’opposition à la prospection commerciale.
TOTALENERGIES n’a pas été en mesure de répondre à certaines de ces demandes. Pour d’autres, la réponse apportée avait été apportée tardivement ou de manière incomplète.
Pour se justifier, TOTALENERGIES expliquait avoir connu des dysfonctionnements internes et des difficultés à récupérer les informations auprès de ses partenaires commerciaux qui lui fournissent les données. Ces explications n’ont pas convaincu la formation restreinte, pour laquelle les manquements étaient caractérisés.
Concernant l’absence de réponse à trois demandes d’oppositions à la prospection commerciale, TOTALENERGIES a expliqué, que les courriers recommandés n’avaient pas été adressés à la cellule dédiée à leur traitement, de sorte que la personne qui avait réceptionné ces demandes n’avait pas su identifier leur objet, et ne les avait donc pas transmises au service compétent.
La CNIL a estimé que les demandes étaient formulées en des termes suffisamment clairs, et a rappelé que même si les demandes ne sont pas adressées à la cellule dédiée, elles doivent être traitées par le responsable de traitement, qui doit prendre les mesures techniques et organisationnelles pour ce faire.
En conséquence, la CNIL a infligé à TOTALENERGIES une sanction à hauteur de un million d’euros et a rendu publique cette décision.
Que retenir de cette sanction ?
Comme souvent, ce sont les plaintes des personnes concernées qui motivent la CNIL à diligenter un contrôle. Les responsables de traitement ont donc tout intérêt à prendre les mesures techniques et organisationnelles idoines pour faire respecter les droits des personnes concernées.
Si la formation restreinte a pris en compte les « efforts réalisés par la société pour se mettre en conformité tout au long de la procédure » pour moduler le montant de la sanction infligée, cela n’a pas permis à la société d’échapper à une sanction rendue publique, les manquements étant constatés au moment du contrôle.
Parmi les mesures techniques et organisationnelles à adopter, notons en particulier qu’il est indispensable de sensibiliser les personnes, au sein de l’entreprise, qui sont susceptibles de réceptionner les demandes d’exercice de droits afin de pouvoir les traiter correctement et en temps utile.
Il s’agit des employés du service interne qui reçoit et distribue le courrier et les emails, du service des ressources humaines, de celui qui assure la gestion des réseaux sociaux, et de manière générale, tous les services qui sont amenés à être en relation avec les personnes concernées.
Ces employés doivent être formés à reconnaître les demandes d’exercice de droit, et les transmettre sans délai au service compétent chargé de les traiter.
Enfin, notons qu’en l’occurrence, les mesures correctrices adoptées par TOTALENERGIES sont des mesures relativement simples à mettre en œuvre, qui auraient pu être engagées plus tôt, ce qui aurait permis d’éviter à l’entreprise les conséquences en termes d’image d’une sanction rendue publique.
Il est donc essentiel d’engager un programme de mise en conformité continu, ce qui implique de revoir régulièrement les process internes pour assurer un bon niveau de conformité au droit de la protection des données personnelles.
Lire la délibération de la formation restreinte de la CNIL n°SAN-2022-011 du 23 juin 2022
[1] Article L. 34-5 du Code des postes et des communications électroniques : « (…) la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies auprès de lui, dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l’utilisation de ses coordonnées au moment où elles sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé au cas où il n’aurait pas refusé d’emblée une telle exploitation »
[2] Lorsque les données personnelles ont été collectées par un tiers, le responsable de traitement doit délivrer à la personne concernée des informations en complément de celles prévues à l’article 13, telle que « la source d’où proviennent les données à caractère personnel ».