Usage des données person­nelles par Engie

J’ai reçu un email de pros­pec­tion commer­ciale d’En­gie et je me suis fendu un cour­rier pour savoir d’où venaient mes données person­nelles et quel usage il en était fait.

6 décembre : Envoi du cour­rier. Ils ont léga­le­ment un mois pour répondre.
27 décembre : Accusé de récep­tion de la demande (oui, 3 semaines pour ça).
6 janvier : Toujours aucune réponse, expi­ra­tion du délai légal.

Ils viennent de me faire un refus impli­cite de réponse à une requête formelle d’ac­cès aux données, reçue et actée par eux. #aie

Aujourd’­hui, 13 janvier, j’ai un appel télé­pho­nique lié à ma requête. J’y obtiens les infor­ma­tions suivantes :

• Mes données viennent de mon ancien contrat GDF, rési­lié en janvier 2017 (avant l’en­trée en vigueur du RGPD, donc).
• Ils gardent les données des anciens clients pendant 5 ans après rési­lia­tion, pour raisons comp­tables.

Ils justi­fient l’ab­sence de suppres­sion de mes données (qui devrait être la norme) en arguant d’obli­ga­tion comp­tables et légales. Pourquoi pas.

Je sens venir le hic et il est confirmé expli­ci­te­ment dans la suite de la conver­sa­tion :

• Les anciens clients sont gardés en base et trans­for­més en pros­pects.
• L’email commer­cial que j’ai reçu a été envoyé aux pros­pects. Je l’ai reçu à ce titre.

Engie refuse donc suppres­sion des données et profite de cette réten­tion pour en faire un usage commer­cial bien que les fina­li­tés ne sont en rien corré­lées. #aie bis

On discute un peu plus utili­sa­tion des données person­nelles. Ils me confirment expli­ci­te­ment que :

• J’ai bien refusé la trans­mis­sion de mes données à des tiers.
• J’ai bien refusé l’uti­li­sa­tion de mes données pour des offres de parte­naires.
• S’ils m’ont envoyé cet email de pros­pec­tion commer­ciale c’est parce que la case « contact possible pour des contrats éner­gie » était dans sa valeur « par défaut ».

Et là je tique une seconde fois.

Je ne sais pas pourquoi ma coche « contact possible pour des contrats éner­gie » était dans l’état par défaut. Je ne suis même pas capable de savoir si cette coche m’était acces­sible. Comme je n’ai plus de contrat chez eux, je n’ai plus accès à une quel­conque inter­face pour le savoir – et encore moins pour le modi­fier.

Ils disent par contre impli­ci­te­ment qu’ils s’au­to­risent les contacts commer­ciaux tant qu’ils n’ont pas un refus expli­cite. Hors rela­tion contrac­tuelle et à défaut de tout compte actif (il ne l’est pas, j’ai essayé de m’iden­ti­fier sur le site et ça m’est refusé cause rési­lia­tion), le RGPD impose pour­tant exac­te­ment l’op­posé. #aie ter

J’ai demandé à avoir leur réponse par écrit, on verra.

Engie, entre temps, tu as un problème avec le respect le plus basique des données person­nelles de tes anciens clients.

---

Réponse par écrit le 20 février

Soit deux fois et demi après le délai légal. La réponse est plus courte que celle obte­nue par télé­phone mais pas meilleure :

1/ Ils y listent mes coor­don­nées person­nelles mais aucune autre infor­ma­tion. Lors de l’échange télé­pho­nique ils avaient pour­tant au mini­mum des détails sur mes contrats passés, mes échanges avec eux, une caté­go­ri­sa­tion clien­tèle, ainsi que les dates et statuts des diffé­rents consen­te­ments. Il y a refus impli­cite de me donner l’in­té­gra­lité des données deman­dées.

Je les soupçonne d’avoir aussi d’autres histo­riques de connexion, de consom­ma­tion, et d’autres infor­ma­tions de profi­lage mais ça je ne peux pas le prou­ver aujourd’­hui.

2/ Ils consi­dèrent la pros­pec­tion commer­ciale comme un inté­rêt légi­time permet­tant de se passer de consen­te­ment expli­cite au sens du RGPD, quand bien même je ne suis pas/plus client de leurs services.

« Comme mentionné dans cette poli­tique, le trai­te­ment de vos données person­nelles à des fins de pros­pec­tion commer­ciale est fondé sur l’in­té­rêt légi­time du respon­sable du trai­te­ment et ne requiert donc pas le recueil du consen­te­ment des personnes concer­nées. »

À ma connais­sance, c’est tota­le­ment hors péri­mètre du RGPD pour ce qui est des pros­pects. C’est d’au­tant plus vrai pour les données collec­tées avant l’ap­pli­ca­tion du RGPD, dont le consen­te­ment peut diffi­ci­le­ment être consi­déré comme impli­cite.

3/ Ils m’en­voient le lien vers leur poli­tique de protec­tion des données person­nelles. Malheu­reu­se­ment elle indique expli­ci­te­ment « Vous pour­rez toujours gérer les solli­ci­ta­tions commer­ciales que vous souhai­tez rece­voir ou non […] En plus, sur tous les canaux digi­taux (mail, SMS), Nous vous deman­dons systé­ma­tique­ment votre accord via des consen­te­ments. »

Indé­pen­dam­ment de la protec­tion légale mini­male, le fait de se passer de consen­te­ment entre donc une viola­tion expli­cite de la poli­tique de confi­den­tia­lité décla­rée auprès des tiers.