Trop laxiste avec les données des Français, EDF doit payer une amende de 600.000 euros
La Cnil, l’autorité française de protection des données, a décidé de sanctionner publiquement EDF pour des manquements au RGPD et au code des postes et des communications électroniques. L’amende s’élève à 600.000 euros, et le cas d’EDF pourrait servir d’épouvantail pour d’autres sociétés qui tardent à se plier aux exigences légales. Explications.
L’autorité française des données, la Cnil, vient d’infliger une amende de 600.000 euros à EDF, suite à plusieurs plaintes déposées entre 2019 et 2020. Elle reproche au géant de l’électricité toute une liste de petites infractions, qui touchent à la fois une campagne de prospection commerciale et une partie de sa gestion de la sécurité des données clients.
Le montant de l’amende reste relativement faible par rapport à la puissance financière d’EDF - 84,5 milliards d’euros de chiffre d’affaires en 2021 - et à l’amende maximale prévue dans le règlement général sur la protection des données (RGPD) qui s’élève à 4% du chiffre d’affaires global. Il reflète la coopération de EDF avec l’autorité et ses efforts pour « se mettre en conformité sur tous les manquements qui lui étaient reprochés ».
En revanche, la Cnil n’avait pas l’obligation de rendre la sanction publique, mais elle le justifie par la nature et le nombre de manquements commis, ainsi que par le nombre de personnes touchées par les violations (plusieurs millions). L’autorité des données fait ainsi d’EDF un exemple pour d’autres : ce n’est pas parce que les infractions paraissent faibles qu’elles seront ignorées.
Trop laxiste avec les données des Français, EDF doit payer une amende de 600.000 euros
Prospection commerciale ratée
Le premier manquement sanctionné par la Cnil touche le recueil du consentement de personnes visées par une campagne de prospection commerciale par email entre 2020 et 2021. L’entreprise avait fait appel à un courtier en données (ou data broker) c’est-à-dire un revendeur de données. Ce dernier avait effectivement recueilli le consentement des utilisateurs, mais la liste des destinataires de ces données, c’est-à-dire le cadre exact dans lequel elles seraient utilisées- n’était pas précisé, ce qui est contraire à la loi. La Cnil estime de plus que les mesures mises en place par EDF pour s’assurer que le consentement était valablement donné par les personnes au courtier étaient insuffisantes. Concrètement, elle ne vérifiait pas les formulaires de recueil du consentement et ne réalisait pas d’audit sur les courtiers auxquels elle faisait appel.
La Cnil ajoute que EDF n’a pas correctement informé les destinataires de la prospection commerciale de la manière dont il avait collecté leurs données, et qu’il n’a pas respecté le délai de réponse d’un mois prévu par les textes lorsqu’il a reçu des plaintes. Pour finir, EDF n’a pas pris en compte les demandes de droit d’opposition (consacré par le RGPD) qui permet de demander à ne plus recevoir la prospection commerciale.
Cependant, l’autorité des données juge la gravité des faits
« limitée », car les manquements ne touchent qu’une faible part (non précisée) de l’ensemble des personnes ciblées par des actions de prospection commerciale réalisées par EDF. Autrement dit, les mauvaises pratiques n’étaient pas généralisées.
Des mots de passe insuffisamment protégés
Le deuxième manquement sanctionné par l’amende touche l’obligation d’assurer la sécurité des données personnelles (encore une fois une disposition du RGPD), et notamment la gestion des mots de passe par EDF. Plus précisément, la Cnil relève l’insuffisance du hachage utilisé par l’entreprise. Cette méthode consiste à utiliser une fonction mathématique pour transformer le mot de passe en un ensemble de caractères (appelé « hash » ou « empreinte ») sans rapport évident. Ce système permet donc à l’entreprise de ne pas stocker le mot de passe en clair.
Ainsi, même en cas de fuite, les acteurs malveillants auront accès aux empreintes, mais n’auront pas les mots de passe et ne pourront donc pas se connecter aux comptes des clients. Du moins, en théorie. En pratique, puisqu’un mot de passe a toujours la même empreinte dans une fonction, il est possible de le retrouver. Pour y parvenir, les hackers lancent des attaques par dictionnaire : ils « hachent » des listes de mots de passe connus, puis comparent les empreintes obtenues à celles qu’ils veulent déchiffrer. Mais ce type d’attaque est plus ou moins facile à mettre en place selon la complexité de la fonction utilisée.
Or, dans le cas d’EDF, 25.000 mots de passe d’accès à l’espace client du portail Prime Energie n’étaient protégés jusqu’à juillet 2022 que par MD5, une fonction de hachage considérée comme insuffisante depuis 2004. Utilisée aux débuts de l’informatique, MD5 n’est pas aussi complexe que les fonctions plus récentes. Il est donc possible de calculer très rapidement le hachage avec les capacités des ordinateurs actuels, ce qui augmente les chances de retrouver le mot de passe. De plus, il existe de grandes bases de données d’empreintes MD5, qui encore une fois facilitent le travail de potentiels acteurs malveillants. EDF défend cependant que malgré la pauvreté du hachage, les mots de passe étaient « salés ». Cette protection supplémentaire consiste à ajouter des caractères aléatoires au mot de passe avant qu’il soit haché, afin d’éviter de retrouver le mot de passe par comparaison d’empreinte. Une précaution suffisante selon EDF.
Mais justement, dans le deuxième cas sanctionné par la Cnil, qui touche 2,4 millions de mots de passe d’accès à l’espace clients de EDF, ce n’est pas la fonction de hachage - celle de référence, SHA-512 - qui est remise en cause, mais l’absence de « salage ». Seuls deux tiers des plus de 13 millions de mots de passe stockés par EDF disposaient des deux protections. L’entreprise a depuis mis la protection de tous ses mots de passe au niveau, mais elle est sanctionnée pour ses manquements passés.