UNE AMENDE DE 11,5 MILLIONS D’EUROS IMPOSÉE AU FOURNISSEUR D’ÉNERGIE ENI GAS E LUCE (CI-APRÈS EGL) PAR L’AUTORITÉ DE PROTECTION DES DONNÉES ITALIENNE.

gdpr security

UNE AMENDE DE 11,5 MILLIONS D’EUROS IMPOSÉE AU FOURNISSEUR D’ÉNERGIE ENI GAS E LUCE (CI-APRÈS EGL) PAR L’AUTORITÉ DE PROTECTION DES DONNÉES ITALIENNE.

D’une part, 8,5 millions d’euros devront être payés par EGL pour avoir traité illicitement des données à caractère personnel dans le cadre d’activités promotionnelles, et plus spécifiquement pour:

-avoir effectué des appels publicitaires sans le consentement des personnes malgré un refus éventuel de leur part, ou sans déclencher les procédures spécifiques de vérification d’opt-out.

-ne pas avoir mis en place des mesures techniques et organisationnelles pour tenir compte des indications fournies par les utilisateurs ;

-avoir conservé les données pour une période de conservation plus longue que celle autorisée; 

-acquis des données sur des clients potentiels auprès d’entités n’ayant pas obtenu le consentement des personnes pour la divulgation de leurs données.

L’APD italienne a donc ordonné à EGL la mise en place de mesures destinées à vérifier le consentement des personnes figurant sur les listes de contact avant le début des campagnes promotionnelles, et a par ailleurs interdit l’utilisation des données mises à disposition par les fournisseurs de listes si ces derniers n’avaient pas obtenu un consentement spécifique pour la communication de ces données à EGL.

D’autre part, 3 millions d’euros ont été infligés pour l’activation de contrats non sollicités.

Environs 7200 consommateurs ont en effet été surpris d’apprendre avoir conclu un nouveau contrat avec EGL, suite à la réception de factures de leur part ou suite à la réception de lettres de résiliation en provenance de leur ancien fournisseur. Beaucoup d’entre eux ont donc saisis l’APD, les plaintes faisant dans certains cas état de fausses signatures ou de données incorrectes dans les contrats.

En acquérant de nouveaux clients par l’intermédiaire d’agences externes opérant pour son compte, l’APD italienne a dès lors conclu qu’EGL avait opéré des activités de traitement contraires au RGPD, en violation des principes de légitimité, d’exactitude et d’actualité des données.