Par une délibération SAN-2022-011 du 23 juin 2022, la CNIL a sanctionné la société TotalEnergies pour divers manquements au RGPD et notamment le non-respect : (i) des règles de prospection commerciale, (ii) de l’information des personnes concernées et (iii) des modalités d’exercice des droits des personnes, particulièrement les droits d’accès et d’opposition.
Après avoir reçu plusieurs plaintes adressées à l’encontre de la société TotalEnergies électricité et gaz France (« TotalEnergies »), provenant de personnes concernées se plaignant (i) de recevoir des « appels téléphoniques de prospection commerciale » et (ii) de la difficulté d’exercer leurs droits d’accès et/ou d’opposition, la CNIL a ouvert une enquête à l’encontre du géant pétrolier.
La CNIL a d’abord constaté qu’au moment de souscrire en ligne, les utilisateurs devaient renseigner leurs données personnelles aux fins de prospection commerciale « sans aucune modalité, telle qu’une case à cocher, permettant à l’utilisateurs de s’opposer à l’utilisation de ses coordonnées », c’est-à-dire en totale contradiction avec les règles de prospection commerciale posées par le Code des postes et des communications électroniques.
La CNIL a ensuite décelé, en écoutant des enregistrements téléphoniques, « l’absence d’information fournie aux personnes démarchées téléphoniquement ou le caractère incomplet de cette information ». TotalEnergies ne laissait pas non plus la possibilité aux personnes démarchées « d’accéder à une information plus complète, par exemple via l’activation d’une touche sur leur clavier téléphonique ».
Rappelant l’obligation pour un responsable du traitement d’informer les personnes concernées, notamment lorsque les données de contact ont été collectées indirectement auprès de partenaires, la CNIL a considéré que TotalEnergies n’a pas respecté l’article 14 du RGPD.
Au cours de son enquête, la CNIL a également remarqué qu’en cas de demande d’exercice des droits d’une personne concernée, TotalEnergies accusait réception des demandes mais apportait des réponses tardives, insuffisantes et souvent après plusieurs relances des plaignants, ne respectant pas l’article 12 du RGPD.
Plus précisément, la CNIL a découvert que TotalEnergies n’avait apporté aucune réponse, ou des réponses tardives ou erronées à des demandes de droit d’accès, invoquant, pour sa défense, des difficultés « pour obtenir ces informations auprès de ses partenaires commerciaux ».
Cet argument n’a pas convaincu l’autorité de contrôle, qui a considéré que TotalEnergies « disposait d’informations relatives aux plaignants » et qu’elle « ne saurait se prévaloir de ses difficultés dans l’obtention d’informations auprès de ses partenaires commerciaux pour justifier l’absence de réponse ».
TotalEnergies étant en mesure de « procéder en plusieurs fois pour communiquer les données dont elle disposait immédiatement dans le délai d’un mois », la CNIL a considéré ces agissements comme contraires à l’article 15 du RGPD.
De même, la CNIL a détecté que, nonobstant l’exercice du droit d’opposition au traitement de données à des fins de prospection commerciale par les personnes concernées, TotalEnergies poursuivait ses sollicitations.
Rejetant la défense de TotalEnergies fondée sur l’existence d’une demande effectuée auprès d’un service incompétent, la CNIL a rappelé qu’il est du devoir du responsable du traitement (i) de « veiller à ce que les demandes soient transmises au service compétent » et (ii) d’apporter une réponse satisfaisante en cessant toute sollicitation commerciale. La CNIL a considéré ces agissements comme contraires à l’article 21 du RGPD.
Compte tenu de ces manquements et des « mesures prises […] pour se mettre en conformité », la CNIL a :
- infligé à TotalEnergies une amende de « 1 million d’euros pour les manquements à l’article L34-5 du CPCE et aux articles 12, 14, 15 et 21 du RGPD » ;
- rendu publique la délibération (cette dernière n’identifiera plus nommément la société à l’expiration d’un délai de 2 ans).
Source : Délibération SAN-2022-011 du 23 juin 2022
