J’ai reçu un email de prospection commerciale d’Engie et je me suis fendu un courrier pour savoir d’où venaient mes données personnelles et quel usage il en était fait.
6 décembre : Envoi du courrier. Ils ont légalement un mois pour répondre.
27 décembre : Accusé de réception de la demande (oui, 3 semaines pour ça).
6 janvier : Toujours aucune réponse, expiration du délai légal.
Ils viennent de me faire un refus implicite de réponse à une requête formelle d’accès aux données, reçue et actée par eux. #aie
Aujourd’hui, 13 janvier, j’ai un appel téléphonique lié à ma requête. J’y obtiens les informations suivantes :
- Mes données viennent de mon ancien contrat GDF, résilié en janvier 2017 (avant l’entrée en vigueur du RGPD, donc).
- Ils gardent les données des anciens clients pendant 5 ans après résiliation, pour raisons comptables.
Ils justifient l’absence de suppression de mes données (qui devrait être la norme) en arguant d’obligation comptables et légales. Pourquoi pas.
Je sens venir le hic et il est confirmé explicitement dans la suite de la conversation :
- Les anciens clients sont gardés en base et transformés en prospects.
- L’email commercial que j’ai reçu a été envoyé aux prospects. Je l’ai reçu à ce titre.
Engie refuse donc suppression des données et profite de cette rétention pour en faire un usage commercial bien que les finalités ne sont en rien corrélées. #aie bis
On discute un peu plus utilisation des données personnelles. Ils me confirment explicitement que :
- J’ai bien refusé la transmission de mes données à des tiers.
- J’ai bien refusé l’utilisation de mes données pour des offres de partenaires.
- S’ils m’ont envoyé cet email de prospection commerciale c’est parce que la case « contact possible pour des contrats énergie » était dans sa valeur « par défaut ».
Et là je tique une seconde fois.
Je ne sais pas pourquoi ma coche « contact possible pour des contrats énergie » était dans l’état par défaut. Je ne suis même pas capable de savoir si cette coche m’était accessible. Comme je n’ai plus de contrat chez eux, je n’ai plus accès à une quelconque interface pour le savoir – et encore moins pour le modifier.
Ils disent par contre implicitement qu’ils s’autorisent les contacts commerciaux tant qu’ils n’ont pas un refus explicite. Hors relation contractuelle et à défaut de tout compte actif (il ne l’est pas, j’ai essayé de m’identifier sur le site et ça m’est refusé cause résiliation), le RGPD impose pourtant exactement l’opposé. #aie ter
J’ai demandé à avoir leur réponse par écrit, on verra.
Engie, entre temps, tu as un problème avec le respect le plus basique des données personnelles de tes anciens clients.
Réponse par écrit le 20 février
Soit deux fois et demi après le délai légal. La réponse est plus courte que celle obtenue par téléphone mais pas meilleure :
1/ Ils y listent mes coordonnées personnelles mais aucune autre information. Lors de l’échange téléphonique ils avaient pourtant au minimum des détails sur mes contrats passés, mes échanges avec eux, une catégorisation clientèle, ainsi que les dates et statuts des différents consentements. Il y a refus implicite de me donner l’intégralité des données demandées.
Je les soupçonne d’avoir aussi d’autres historiques de connexion, de consommation, et d’autres informations de profilage mais ça je ne peux pas le prouver aujourd’hui.
2/ Ils considèrent la prospection commerciale comme un intérêt légitime permettant de se passer de consentement explicite au sens du RGPD, quand bien même je ne suis pas/plus client de leurs services.
« Comme mentionné dans cette politique, le traitement de vos données personnelles à des fins de prospection commerciale est fondé sur l’intérêt légitime du responsable du traitement et ne requiert donc pas le recueil du consentement des personnes concernées. »
À ma connaissance, c’est totalement hors périmètre du RGPD pour ce qui est des prospects. C’est d’autant plus vrai pour les données collectées avant l’application du RGPD, dont le consentement peut difficilement être considéré comme implicite.
3/ Ils m’envoient le lien vers leur politique de protection des données personnelles. Malheureusement elle indique explicitement « Vous pourrez toujours gérer les sollicitations commerciales que vous souhaitez recevoir ou non […] En plus, sur tous les canaux digitaux (mail, SMS), Nous vous demandons systématiquement votre accord via des consentements. »
Indépendamment de la protection légale minimale, le fait de se passer de consentement entre donc une violation explicite de la politique de confidentialité déclarée auprès des tiers.
Laisser un commentaire