CONTACT

Un fournisseur d’énergie sanctionné pour avoir transféré les données personnelles d’un client

01 décembre 2022 | Derriennic Associés|

AEPD (Espagne), 23 août 2022

L’autorité de contrôle espagnole a sanctionné un fournisseur d’énergie pour avoir transféré à un inconnu les factures d’une cliente sans le consentement de cette dernière.

Une cliente, constatant que son adresse mail avait été modifiée et que ses dernières factures avaient été transférées à un inconnu par son fournisseur de gaz et d’électricité (le « Fournisseur »), a déposé une plainte auprès de l’autorité de contrôle espagnole.

L’enquête menée par l’autorité de contrôle a révélé que l’inconnu s’était présenté comme un parent de la cliente et avait contacté le service client du Fournisseur afin d’obtenir un duplicata des dernières factures d’électricité.

Face à une telle demande, le Fournisseur avait mis en œuvre sa « politique de sécurité » et exigé de l’inconnu certaines informations qui ne sont, en principe, connues « que par le titulaire du contrat, ou par une personne autorisée par le titulaire ». Ainsi, l’inconnu a dû fournir (i) le nom et le prénom de la cliente, (ii) son numéro d’identification (iii) son adresse et (iv) la référence du contrat. Plus encore, l’inconnu a transmis au Fournisseur la carte d’identité de la cliente et les 4 derniers chiffres du compte bancaire.

L’autorité de contrôle, rappelant le contenu des articles 5 et 32 du RGPD, a considéré que le responsable du traitement doit, en plus d’assurer la sécurité du traitement, avoir une démarche « proactive » et doit pouvoir démontrer le respect du RGPD.

Or, en l’espèce, l’autorité de contrôle a considéré que le Fournisseur a violé (i) les principes d’intégrité et de confidentialité des données car, malgré les mesures de sécurité mises en œuvre, le Fournisseur a permis, à un tiers, d’accéder aux données à caractère personnel d’un client sans son consentement, et (ii) l’obligation de sécurité des traitements dès lors que les mesures de sécurité mises en place n’ont pas été suffisantes pour prévenir la violation de données personnelles.

En conséquence, le Fournisseur s’est vu infligé une amende de 48 000 euros.

Source : ici

Personnalisation des cookies

Cookies de mesures d'audience

Ce site utilise Matomo à des fins statistiques (cookies de mesure d’audience). Ils permettent de savoir combien de fois une page déterminée a été consultée. Nous utilisons ces informations uniquement pour améliorer le contenu de notre site Internet.

Il s’agit des cookies suivants :

_ga : Ce cookie permet d’identifier les visiteurs du site via l’adresse IP de l’utilisateur. Elle est ensuite anonymisée par Matomo Analytics.

_gat_gtag_UA_162039697_1 : Ce cookie permet de limiter le nombre de requêtes simultanées au site et d’éviter les bugs

_gid : Ce cookie permet d’identifier les visiteurs du site via leur adresse IP (conservation de 24h). Elle est ensuite anonymisée par Matomo Analytics.

Vous pouvez consulter la page dédié à la protection des données de Matomo