CNIL - Délibération n° SAN-2022-011 du 23 juin 2022 concernant la société TOTALENERGIES ELECTRICITÉ ET GAZ FRANCE

Délibération de la formation restreinte n°SAN-2022-011 du 23 juin 2022 concernant la société TOTALENERGIES ELECTRICITÉ ET GAZ FRANCE

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Alexandre LINDEN, président, Monsieur Philippe-Pierre CABOURDIN, vice-président, Madame Christine MAUGÜÉ, Monsieur Alain DRU et Monsieur Bertrand du MARAIS, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (RGPD) ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu le code des postes et des communications électroniques ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2020-113C du 12 mai 2020 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par TOTAL DIRECT ENERGIE ou pour son compte ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 29 juillet 2021 ;

Vu le rapport de Monsieur François PELLEGRINI, commissaire rapporteur, notifié à la société TOTALENERGIES ELECTRICITÉ ET GAZ FRANCE le 25 février 2022 ;

Vu les observations écrites versées par la société TOTALENERGIES ELECTRICITÉ ET GAZ FRANCE le 25 mars 2022 ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 21 avril 2022 :

- Monsieur François PELLEGRINI, commissaire, entendu en son rapport ;

En qualité de représentants de la société TOTALENERGIES ELECTRICITÉ ET GAZ FRANCE :

- […]

La société TOTALENERGIES ELECTRICITÉ ET GAZ FRANCE ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

1. La société TOTALENERGIES ELECTRICITÉ ET GAZ FRANCE (ci-après " la société "), anciennement dénommée TOTAL DIRECT ENERGIE, dont le siège social est situé 2 bis rue Louis Armand à Paris (75015), est une société anonyme qui a pour activité la fourniture et la production d’électricité et de gaz en France. Créée en 2003, la société compte environ 650 salariés.

2. Pour l’année 2020, la société a réalisé un chiffre d’affaires de […] euros, pour un résultat net de […] euros. En 2021, la société dénombrait près de 8 millions de clients et prospects, ce qui la classait au troisième rang des principaux fournisseurs d’électricité et de gaz en France.

3. Entre le mois d’octobre 2019 et le mois de juillet 2020, la Commission nationale de l’informatique et des libertés (ci-après " la CNIL " ou " la Commission ") a été saisie de 27 plaintes à l’encontre de la société. Parmi ces plaintes, 18 ont été examinées dans le cadre de la présente procédure de sanction. Les plaignants faisaient notamment état des difficultés rencontrées dans l’exercice de leurs droits d’accès ou d’opposition à recevoir des appels téléphoniques de prospection commerciale.

4. Pour les besoins de l’instruction des plaintes, un contrôle en ligne a été effectué sur le site web " total.direct-energie.com " le 10 août 2020. Le procès-verbal n° 2020-113-1, dressé par la délégation le jour du contrôle, a été notifié à la société le 19 août 2020. La délégation de la CNIL s’est notamment attachée à vérifier la gestion, par la société, des droits des personnes, et plus particulièrement la manière dont elle avait traité les demandes d’exercice des droits des personnes ayant saisi la Commission de plaintes. Ce contrôle avait également pour but de vérifier l’information fournie par la société aux prospects contactés dans le cadre d’opérations de démarchage téléphonique ainsi que la possibilité qui leur était offerte de pouvoir s’y opposer.

5. Trois demandes de complément d’informations ont ensuite été adressées à la société par lettres recommandées avec avis de réception, datées des 19 août 2020, 25 novembre 2020 et 19 février 2021. La société a répondu par courriers datés du 1er octobre 2020, du 11 décembre 2020 et du 5 mars 2021.

6. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 29 juillet 2021, désigné Monsieur François PELLEGRINI en qualité de rapporteur sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.

7. Par courrier du 6 janvier 2022, le rapporteur a demandé à la société de fournir son bilan comptable de l’année 2020, ce qu’elle n’a pas fait.

8. Le rapporteur a, le 25 février 2022, fait notifier à la société un rapport détaillant les manquements au RGPD qu’il estimait constitués en l’espèce, accompagné d’une convocation à la séance de la formation restreinte du 21 avril 2022.

9. Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative et une injonction de mettre en conformité le traitement avec les dispositions de l’article L. 34-5 du code des postes et des télécommunications électroniques (CPCE) et des articles 12, 14, 15 et 21 du RGPD, assortie d’une astreinte par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération de la formation restreinte. Il proposait également que cette décision soit rendue publique, mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

10. Le 25 mars 2022, la société a produit ses observations en réponse au rapport de sanction.

La société et le rapporteur ont présenté des observations orales lors de la séance de la formation restreinte.

11. Aux termes de l’article L. 34-5 du CPCE :

" Est interdite la prospection directe au moyen de système automatisé de communications électroniques au sens du 6° de l’article L. 32, d’un télécopieur ou de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen. (…) / Toutefois, la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies auprès de lui, dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l’utilisation de ses coordonnées au moment où elles sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé au cas où il n’aurait pas refusé d’emblée une telle exploitation. (…) ".

12. Le rapporteur observe d’abord qu’à l’occasion du contrôle effectué le 10 août 2020, la société a indiqué à la CNIL effectuer différents types de campagnes de prospection commerciale, dont des campagnes dites de " relance " au cours desquelles elle contacte notamment des prospects ayant communiqué leurs données par le biais de formulaires disponibles sur son site web. Les prospects peuvent être contactés par téléphone ou par courriel.

13. Le rapporteur relève ensuite que la délégation de contrôle a constaté que, au moment de souscrire en ligne sur le site web de la société, l’utilisateur doit renseigner sur le formulaire de collecte correspondant son adresse électronique et son numéro de téléphone en dessous de la mention l’informant que : " En renseignant les informations suivantes, vous reconnaissez donner votre accord à leur utilisation par Total Direct Energie pour vous présenter ultérieurement ses offres ". Il souligne que cette mention n’est accompagnée d’aucune modalité, telle qu’une case à cocher, permettant à l’utilisateur de s’opposer à l’utilisation de ses coordonnées à de telles fins, au moment où celles-ci sont recueillies.

14. En défense, la société apporte des éléments de réponse en lien avec deux formulaires disponibles sur son site web. Elle soutient d’abord que le formulaire de demande de devis en ligne est conforme aux règles applicables en ce qu’il informe l’utilisateur que ses coordonnées sont renseignées à titre facultatif et qu’il contient une case à cocher, non pré-cochée par défaut, lui permettant d’accepter de recevoir des offres commerciales de la société par courriel, par SMS ou par téléphone. La société soutient en outre que l’article L. 34-5 du CPCE n’a pas vocation à s’appliquer au formulaire de souscription en ligne dès lors que les appels téléphoniques et courriels émis auprès des personnes n’ayant pas finalisé leur souscription n’ont en principe pas vocation à promouvoir des produits ou services de l’entreprise mais ont pour objectif de proposer une assistance à l’utilisateur afin de l’aider à finaliser sa souscription en cours. La société précise toutefois avoir pris des mesures dans le cadre de la procédure de sanction pour ajouter une case à cocher sur ce formulaire et ajoute ne plus adresser, depuis septembre 2020, de courriels aux personnes qui débutent une souscription en ligne sans la finaliser.

15. En premier lieu, la formation restreinte relève que, s’agissant du formulaire de demande de devis, le rapporteur a précisé en cours de procédure que sa conformité n’était pas contestée, seul le formulaire de souscription en ligne étant visé dans son rapport. Elle considère également que les modalités de collecte des données par le biais de ce formulaire de demande de devis sont conformes aux règles applicables.

16. En second lieu, s’agissant du formulaire de souscription en ligne, la formation restreinte rappelle qu’il ressort des dispositions précitées de l’article L. 34-5 du CPCE que les responsables de traitement peuvent, à l’occasion d’une vente ou d’une prestation de services, collecter des données à caractère personnel à des fins de prospection commerciale pour des produits ou services analogues, sans recueillir le consentement des intéressés, sous réserve d’une collecte conforme aux exigences de la loi Informatique et Libertés, effectuée auprès de la personne concernée et en lui offrant la possibilité de s’opposer à un tel traitement de données au moment où elles sont recueillies, puis lors de chaque message de prospection.

17. En l’espèce, la formation restreinte considère que le fait que l’utilisateur, lorsqu’il remplit le formulaire de souscription en ligne, ne puisse s’opposer à l’utilisation de ses données à des fins de prospection commerciale électronique, au moment où celles-ci sont collectées, constitue un manquement aux obligations de l’article L. 34-5 du CPCE dès lors que le formulaire l’informe que les informations renseignées, comportant son adresse électronique, peuvent être utilisée par la société afin de lui " présenter ultérieurement ses offres ".

18. Dans ces conditions, la formation restreinte considère que la société a méconnu ses obligations résultant de l’article L. 34-5 du CPCE.

19. Elle relève néanmoins que, dans le cadre de la présente procédure, la société a indiqué ne plus adresser de courriels aux personnes débutant une souscription sans la finaliser et a inséré sur le formulaire de souscription en ligne une case à cocher accompagnée de la mention suivante : " Veuillez cocher cette case si vous ne souhaitez pas que votre numéro de téléphone soit utilisé par TotalEnergies Electricité et Gaz de France pour vous aider à finaliser votre souscription et vous proposer ses offres et services ".

20. Aux termes de l’article 14 du RGPD :

" 1. Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :

a) L’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable de traitement ;

b) Le cas échéant, les coordonnées du délégué à la protection des données ;

c) Les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

d) Les catégories de données à caractère personnel concernées ;

e) Le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;

f) Le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale (…) /

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée (…) /

a) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

b) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;

c) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données ;

d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;

e) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;

f) la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public (…) "

Aux termes de l’article 14, paragraphe 3 :

" Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2 :

a) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées ;

b) si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne (…) ".

21. Le rapporteur relève que, dans le cadre du contrôle, la société a fourni à la délégation de la CNIL un échantillon composé de quatre-vingt-quatre enregistrements d’appels téléphoniques passés par trois conseillers le 20 octobre 2020. Ces appels ont été effectués dans le cadre de campagnes de prospection réalisées à partir de données collectées par la société auprès de ses partenaires fournisseurs de données de prospects.

22. Le rapporteur relève que l’écoute de cet échantillon a permis de constater l’absence d’information fournie aux personnes démarchées téléphoniquement ou le caractère incomplet de cette information. En effet, il ressort de ces enregistrements que, dans certains cas, les personnes contactées n’ont bénéficié d’aucune information relative à la protection de leurs données au cours de l’appel. Dans d’autres cas, l’information fournie était incomplète, certaines mentions précitées prévues à l’article 14 du RGPD n’étant pas portées à la connaissance des personnes contactées. Enfin, la société n’offrait aucune possibilité aux personnes contactées d’accéder à une information plus complète, par exemple via l’activation d’une touche sur leur clavier téléphonique.

23. En défense, la société souligne d’abord que les appels examinés dans le rapport ne reflètent pas les pratiques de l’ensemble des conseillers dès lors qu’il ne s’agit que de quatre-vingt-quatre enregistrements d’appels et qu’ils correspondent à des appels pour lesquels les conseillers n’ont pas respecté les consignes données. Ces consignes permettaient pourtant de fournir aux personnes concernées les " informations essentielles / prioritaires " selon la société. La société ajoute ensuite avoir modifié, dans le cadre de la procédure, le script fourni aux conseillers, afin de mettre davantage en exergue les informations essentielles en début d’appel et d’inviter les personnes qui le souhaitent à avoir plus d’informations, en appuyant sur une touche du téléphone. La société indique également avoir renforcé son second niveau d’information en enregistrant un message contenant l’ensemble des informations requises par l’article 14 du RGPD, accessible à partir de cette touche. Elle précise enfin que ses agents ont dû assister à des formations de sensibilisation sur ce sujet.

24. La formation restreinte relève que les quatre-vingt-quatre enregistrements d’appels de démarchage téléphonique recueillis dans le cadre du contrôle révèlent une méconnaissance de l’article 14 du RGPD.

25. La formation restreinte observe que, dans certains cas, les personnes contactées à des fins de prospection ne bénéficiaient d’aucune information. Dans d’autres cas, certaines mentions précitées prévues à l’article 14 du RGPD – comme les finalités du traitement ou encore l’existence des différents droits – n’étaient pas portées à leur connaissance. Dans la plupart des cas, des informations essentielles, comme celles relatives au principe même de l’enregistrement de l’appel et au droit de s’y opposer n’étaient pas communiquées. Les personnes ne se voyaient pas non plus offrir la possibilité d’obtenir une information plus complète relative aux traitements de leurs données à caractère personnel, par exemple via l’activation d’une touche sur leur clavier téléphonique.

26. Dès lors, la formation restreinte considère que les faits précités constituent un manquement à l’article 14 du RGPD.

27. La formation restreinte relève que la société a justifié avoir pris des mesures pour se mettre en conformité au cours de la procédure, en modifiant notamment les consignes contenues dans le script fourni aux conseillers contactant les prospects, et détaillant le message devant leur être délivré en début d’appel. Celui-ci mentionne l’ensemble des informations essentielles, ainsi que la possibilité d’obtenir des informations complémentaires relatives aux traitements de données à caractère personnel mis en œuvre par la société en appuyant sur une touche du clavier du téléphone. Les informations ainsi mises à disposition des personnes sont conformes à l’article 14 du RGPD.

28. Aux termes de l’article 12 du RGPD :

" 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.

3. Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.

4. Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel. (…) ".

29. L’article 15, paragraphe 1, du RGPD prévoit le droit pour une personne d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès aux données à caractère personnel la concernant et notamment " g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ". Il est également prévu au paragraphe 3 du même article que " le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. (…) ".

30. Aux termes de l’article 21 du RGPD :

" 2. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection. (…)"

31. Le rapporteur, pour proposer à la formation restreinte de considérer que la société a méconnu ses obligations résultant de l’article 12 du RGPD, se fonde sur quatre saisines de la CNIL, émanant de Mesdames […] (plainte n° […]) et […] (plainte n° […]), et de Messieurs […] (plainte n° […]) et […] (plainte n° […]), dans le cadre desquelles les plaignants faisaient état de difficultés rencontrées dans l’exercice de leurs droits.

32. Le rapporteur indique que ces quatre saisines concernent respectivement une demande de rectification d’adresse de consommation, la prise en compte d’une opposition au traitement des données à des fins de prospection commerciale, une demande d’origine des données et enfin une opposition au traitement des données à des fins de prospection commerciale accompagnée d’une demande de leur suppression.

33. Le rapporteur observe qu’il ressort des constats effectués lors de la procédure de contrôle ou des éléments communiqués ultérieurement par la société, que si cette dernière a pris en compte les demandes, elle n’y a apporté des réponses satisfaisantes que tardivement, au-delà des délais fixés par l’article 12 du RGPD, souvent après plusieurs relances du plaignant et engagement de la procédure de contrôle.

34. En défense, la société fait valoir que le manquement allégué au titre de ces quatre saisines n’est intervenu que dans des cas isolés ou complexes et est essentiellement révélateur d’erreurs humaines, durant une période de crise sanitaire et de confinements successifs durant lesquels les individus ont eu plus de temps pour exercer leurs droits. Elle précise que, selon la procédure détaillée que la société a élaborée en 2018 à destination des agents de la direction de la relation client et de son partenaire […] (sous-traitant en charge de la gestion des demandes d’exercice de droits), les demandes doivent être prises en charge immédiatement et au plus tard à J+1 à compter de leur réception, et elles doivent être traitées au plus tard à J+30. Elle détaille en outre les actions menées pour chacune de ces saisines et souligne qu’une réponse a été apportée à toutes ces demandes.

35. La formation restreinte rappelle qu’il résulte de l’article 12 du RGPD que lorsqu’une demande d’exercice de droit lui est adressée, le responsable de traitement doit fournir à la personne concernée des informations sur les mesures prises pour répondre à sa demande dans les meilleurs délais et en tout état de cause dans un délai d’un mois. La formation restreinte rappelle également qu’il est possible de prolonger de deux mois ce délai en raison de la complexité de la demande.

36. La formation restreinte note que les faits relevés par le rapporteur ne sont pas contestés par la société. Elle considère qu’un manquement aux obligations de l’article 12 du RGPD est constitué dès lors que la société n’a pas traité certaines demandes d’exercice de droits dans le délai imparti, le délai pris pouvant aller jusqu’à deux ans. S’agissant d’une plaignante, alors même que sa situation était réglée, la société ne l’avait pas informée du traitement effectif de sa demande. Il en résulte que les personnes concernées étaient dans l’ignorance des suites apportées à leurs demandes.

37. Par suite, la formation restreinte considère que, quand bien même la société a justifié avoir traité les demandes précitées et avoir pris des mesures pour se mettre en conformité, le manquement à l’article 12 du RGPD est constitué.

38. Le rapporteur, pour proposer à la formation restreinte de considérer que la société a méconnu ses obligations résultant de l’article 15 du RGPD en matière de droit d’accès, se fonde sur huit saisines de la CNIL, émanant de Messieurs […] (plainte n° […]), […] (plainte n° […]), […] (plainte n° […]), […] (plainte n° […]), […] (plainte n° […]), […] (plainte n° […]), […] (plainte n° […]) et […] (plainte n° […]). Dans le cadre de ces plaintes, les personnes faisaient état de difficultés rencontrées dans l’exercice de ce droit, alors même que leurs demandes avaient bien été réceptionnées.

39. Le rapporteur indique que ces huit saisines concernent notamment l’accès aux données à caractère personnel et plus particulièrement leur origine ainsi que l’accès aux enregistrements des conversations téléphoniques.

40. Le rapporteur observe qu’il ressort des constats effectués lors de la procédure de contrôle ou des éléments communiqués ultérieurement que la société n’a pas apporté de réponse aux demandeurs ou a apporté des réponses tardives ou erronées.

41. En défense, la société fait valoir que les procédures qu’elle avait mises en place n’ont pas été respectées en raison d’erreurs humaines mais également d’un nombre important de demandes reçues en 2020 ainsi que d’un contexte perturbé lié à la crise sanitaire. Elle indique que si elle n’a pas pris en compte dans le délai imparti certaines demandes d’accès, c’est en raison de difficultés rencontrées pour obtenir ces informations auprès de ses partenaires commerciaux, de sorte qu’elle s’est trouvée dans l’incapacité d’informer correctement les plaignants sur la source de leurs données. La société indique avoir révisé son processus interne de gestion des demandes d’exercice de droit afin de prévenir la répétition de tels incidents et avoir renforcé la communication auprès des équipes concernant le traitement des demandes. Elle fait valoir qu’après des recherches approfondies une réponse a pu être apportée à Messieurs […] […] et […] et qu’elle a supprimé l’ensemble des données les concernant.

42. La formation restreinte relève que la société disposait d’informations relatives aux plaignants, mais qu’en raison de dysfonctionnements internes elle n’a pas traité de manière satisfaisante les différentes demandes. Elle considère que la société ne saurait se prévaloir de ses difficultés dans l’obtention d’informations auprès de ses partenaires commerciaux pour justifier l’absence de réponse fournie aux demandeurs dans le respect des dispositions applicables. En effet, la société fait appel à de nombreux partenaires commerciaux pour la fourniture de données de prospects et il lui appartient, dès lors, de s’organiser pour être en mesure d’assurer un traitement rigoureusement conforme des demandes d’accès et, notamment, fournir une information sur l’origine des données. Ces droits constituent un élément central de la maîtrise des personnes sur le traitement de leurs données à caractère personnel. La société pouvait en outre procéder en plusieurs fois pour communiquer les données dont elle disposait immédiatement dans le délai d’un mois.

43. La formation restreinte note que les faits relevés par le rapporteur ne sont pas contestés par la société. Elle considère qu’un manquement aux obligations de l’article 15 est constitué pour l’ensemble des plaintes précitées dès lors que la société n’a pas traité les demandes d’accès qui lui ont été adressées dans le délai qui lui était imparti, laissant ainsi les personnes dans l’ignorance des données traitées par la société et les concernant.

44. Elle relève que, dans le cadre de la présente procédure, la société a justifié avoir pris des mesures pour se mettre en conformité avec les obligations découlant de l’article 15 du RGPD.

3. Sur le manquement relatif à l’obligation de respecter le droit d’opposition (article 21 du RGPD)

45. Le rapporteur, pour proposer à la formation restreinte de considérer que la société a méconnu ses obligations résultant de l’article 21 du RGPD, se fonde sur six saisines de la CNIL, émanant de Mesdames […] (plainte n° […]) et […] (plainte n° […]) et de Messieurs […] (plainte n° […]), […] (plainte n° […]), […] (plainte n° […]) et […] (plainte n° […]), dans le cadre desquelles les plaignants faisaient état de leurs difficultés dans l’exercice de leur droit d’opposition à la prospection commerciale.

46. Le rapporteur indique que ces six saisines concernent des demandes de suppression de données afin de ne plus recevoir d’appels de prospection commerciale et la poursuite de sollicitations commerciales nonobstant l’exercice du droit d’opposition au traitement des données pour cette finalité.

47. Le rapporteur observe qu’il ressort des constats effectués lors de la procédure de contrôle ou des éléments communiqués ultérieurement que les plaignants n’ont, soit pas obtenu de réponse à leurs demandes d’opposition formulées par lettres recommandées et dont la société avait pourtant accusé réception, au motif qu’elles n’avaient pas été adressées à la cellule chargée de leur traitement, soit ont été informés de la prise en compte de leurs demandes par la société qui leur a confirmé la suppression de leurs données à caractère personnel, mais sans mettre en œuvre les mesures permettant de satisfaire leurs demandes d’opposition, dès lors qu’ils ont continué à recevoir des appels téléphoniques dans les mois qui ont suivi leurs demandes. Il ajoute que pour l’une des demandes d’opposition au traitement des données à caractère personnel à des fins de prospection, la plaignante n’a obtenu aucune satisfaction alors qu’elle avait été reçue par la société.

48. En défense, la société fait d’abord valoir que l’impact sur les droits et libertés des personnes concernées est limité et qu’il convient de mettre ces plaintes en perspective avec le traitement satisfaisant des très nombreuses autres demandes gérées par la société durant l’année 2020. Elle ajoute ensuite que, dans ces cas précis, le non-respect des procédures mises en place par la société était dû à des erreurs humaines d’agents qui n’ont pas toujours eu les réactions adéquates et n’ont pas suivi les procédures imposées. Il s’explique également en raison du contexte perturbé à l’époque des faits, dû à la crise sanitaire, qui a bouleversé l’organisation en place et complexifié les échanges entre les services de la société.

49. La société relève que trois demandes n’ont pas été adressées à la cellule chargée de leur traitement. Elle reconnaît avoir réceptionné les courriers. Cependant, elle souligne que le fait que les demandes n’aient pas été transmises à la cellule dédiée et que la personne qui a réceptionné les courriers n’ait pas su identifier leur objet, et ne les ait donc pas transmis à la cellule dédiée, explique leur absence de traitement.

50. Sur ce point, la formation restreinte considère que s’il n’est pas contesté que les plaignants n’ont pas adressé leurs demandes directement à la cellule en charge d’y répondre, il n’en demeure pas moins qu’il appartenait à la société, dès lors que les demandes, dont l’une était directement adressée au délégué de la protection des données, ont bien été réceptionnées par cette dernière et qu’elles étaient claires en leurs termes, de les traiter dans les délais prévus par le RGPD et de veiller à cet effet à ce qu’elles soient transmises au service compétent. En effet, si la mise en œuvre de mesures organisationnelles permettant de faciliter l’exercice des droits des personnes – telle que la mise en place de cette cellule dédiée – est conforme aux exigences et objectifs poursuivis par le RGPD, cela ne saurait en revanche exonérer la société de son obligation de répondre aux demandes qui lui sont faites par courrier même si elles ne lui sont pas adressées par le canal prévu à cet effet, a fortiori lorsque, comme c’est le cas en l’espèce, le contenu de la demande est clair.

51. La formation restreinte relève que, même si la société indique avoir pris en compte les demandes des plaignants, mais ne pas les avoir satisfaites en raison d’erreurs humaines ou de problèmes techniques, ce n’est pas pour autant qu’elle y a apporté une réponse satisfaisante puisque les plaignants ont continué à recevoir des appels téléphoniques de prospection commerciale.

52. La formation restreinte note que les faits relevés par le rapporteur ne sont pas contestés par la société. Elle considère qu’un manquement aux obligations qui découlent de l’article 21 du RGPD est constitué dès lors que la société n’a pas pris en compte l’opposition des personnes concernées par le traitement de leurs données à caractère personnel.

53. Elle relève que, dans le cadre de la présente procédure, la société a justifié avoir pris des mesures pour se mettre en conformité avec les obligations découlant de l’article 21 du RGPD.

Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée :

" Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : (…) 7° À l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83. "

Aux termes de l’article 83 du RGPD :

" 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives. ", avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.

54. En premier lieu, sur le principe du prononcé d’une amende, la société soutient qu’une telle mesure n’est pas nécessaire et ne serait pas proportionnée au regard des faits qui lui sont reprochés.

55. La formation restreinte rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative, des critères précisés à l’article 83 du RGPD, tels que la nature, la gravité et la durée de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation.

56. La formation restreinte considère d’abord que la société a fait preuve d’une négligence certaine s’agissant de principes fondamentaux du RGPD puisque cinq manquements sont constitués, portant notamment sur l’information et les droits des personnes. La formation restreinte ajoute que plusieurs manquements ont donné lieu à des plaintes.

57. La formation restreinte relève ensuite que la société est un acteur particulièrement important du secteur de la production et de la fourniture d’énergies puisqu’elle dénombrait, en 2021, environ 8 millions de clients et prospects, ce qui la classait au troisième rang des fournisseurs d’énergies en France. Elle dispose donc de ressources importantes lui permettant de traiter les questions de protection des données personnelles.

58. La formation restreinte observe également que la société a recours très largement à la prospection commerciale réalisée par voie téléphonique ou par courriels.

59. En conséquence, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative au regard des manquements constitués à l’article L. 34-5 du CPCE et aux articles 12, 14, 15 et 21 du RGPD.

60. En deuxième lieu, s’agissant du montant de l’amende, la formation restreinte rappelle que les amendes administratives doivent être à la fois dissuasives et proportionnées. En l’espèce, la société a méconnu ses obligations résultant de l’article L. 34-5 du CPCE à l’égard des 4,6 millions de prospects, comptabilisés en septembre 2020, et pour lesquels une souscription, réalisée à partir du formulaire en ligne, était en cours. Outre les manquements liés à la prospection commerciale réalisée par la société qui ont été constatés dans le cadre du contrôle, la formation restreinte observe que les plaintes révélant l’existence de manquements apparaissent peu nombreuses – en effet, leur nombre, de dix-huit, doit être rapporté au nombre de clients et prospects d’environ 8 millions –, de sorte que ces manquements ne peuvent être regardés comme ayant un caractère systémique.

61. La formation restreinte rappelle également que l’activité de la société et sa situation financière doivent être prises en compte pour la détermination de la sanction et notamment, en cas d’amende administrative, de son montant. Elle relève à ce titre que la société fait état d’un chiffre d’affaires de […] en 2020 pour un résultat net s’élevant à […] euros.

62. La formation restreinte acte par ailleurs les efforts réalisés par la société pour se mettre en conformité tout au long de la procédure.

63. Dès lors, au vu de ces éléments, la formation restreinte considère que le prononcé d’une amende administrative d’un million d’euros apparaît justifié.

64. En troisième lieu, une injonction de mettre en conformité le traitement avec les dispositions de l’article L. 34-5 du CPCE et des articles 12, 14, 15 et 21 du RGPD a été proposée par le rapporteur lors de la notification du rapport.

65. La société soutient que les actions qu’elle a mises en œuvre s’agissant de l’ensemble des manquements relevés doivent conduire à ne pas donner suite à la proposition d’injonction du rapporteur.

66. Comme indiqué précédemment, la formation restreinte relève que la société a pris des mesures de mise en conformité de ses traitements avec les dispositions de l’article L. 34-5 du CPCE et des articles 12, 14, 15 et 21 du RGPD. Elle considère dès lors qu’il n’y a pas lieu de prononcer d’injonction.

67. En dernier lieu, s’agissant de la publicité de la décision de sanction, la société soutient qu’une telle mesure serait disproportionnée au regard du caractère limité des manquements allégués et de sa mise en conformité. Elle considère également que la publication de la sanction aurait un impact significatif en termes d’image pour la société et qu’elle serait favorable à ses principaux concurrents, sur un marché très concurrentiel.

La formation restreinte considère que la publicité de la sanction se justifie au regard de la nature des manquements qui portent essentiellement sur les traitements de millions de données, réalisés dans le cadre de campagnes de prospection commerciale et notamment sur l’information délivrée aux personnes concernées, ainsi que sur les modalités d’exercice des droits. Elle estime par ailleurs que cette mesure permettra d’informer les personnes concernées de l’existence passée des manquements sanctionnés, dans la mesure notamment où ces faits ont fait l’objet de plusieurs plaintes.

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

- prononcer à l’encontre de la société TOTALENERGIES ELECTRICITÉ ET GAZ FRANCE une amende administrative d’un montant de 1 000 000 (un million) d’euros pour les manquements à l’article L. 34-5 du CPCE et aux articles 12, 14, 15 et 21 du RGPD ;

- rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

Le président

Alexandre LINDEN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.