La Commission Nationale Informatique et Libertés (CNIL) vient de prononcer une mise en demeure contre les sociétés EDF et Engie pour non-respect de certaines conditions de recueil du consentement concernant les collectes des données des compteurs communicants (Linky). Elle estime en outre la durée de conservation des données excessive.
La CNIL et l’utilisation des données
La CNIL est particulièrement vigilante sur les conditions d’utilisation des données de consommations des compteurs Linky. Celles-ci peuvent en effet révéler des informations sur la vie privée (heures de lever et de coucher, présence ou absence d’une ou de plusieurs personnes…). Les conditions de collecte de la courbe de charge font donc l’objet d’un pacte de conformité « compteurs communicants », qui détaille de manière pratique les règles applicables pour protéger la vie privée des personnes.
Les fournisseurs peuvent disposer des données de consommation mensuelle pour établir la facturation. Ils peuvent aussi collecter les données plus fines (courbes quotidiennes, horaires…), mais exclusivement avec le consentement du client. Or ce consentement doit être, conformément aux règles du règlement général sur la protection des données (RGPD), « libre, spécifique, éclairé et univoque ».
Or les contrôles effectués par la CNIL montrent que les sociétés EDF et Engie « sont dans une trajectoire globale de mise en conformité ». Elles ont notamment mis en œuvre des modalités de recueil du consentement des abonnés et ont défini des politiques de durée de conservation des données. C’est pourtant sur ces deux points que porte la mise en demeure de l’Autorité.
Un consentement ni spécifique, ni éclairé
En effet, le niveau de conformité de ces deux points reste insuffisant et deux manquements ont été constatés. D’abord des modalités de recueil du consentement ne sont pas satisfaisantes. Le « consentement n’est ni spécifique ni suffisamment éclairé s’agissant des données de consommation à l’heure ou à la demi-heure », explique la CNIL.
Le RGPD impose un consentement spécifique pour ces données de consommation. Or EDF, comme Engie, recueille le consentement sur une seule et unique case pour deux opérations distinctes : l’affichage dans l’espace client des consommations quotidiennes et l’affichage des consommations à la demi-heure. Pour EDF, cocher cette case entraîne même une troisième opération : la fourniture de conseils personnalisés pour réduire les consommations d’énergie du foyer. Il est donc contraire à la règle « spécifique » du RGPD.
Il n’est pas non plus « éclairé ». La mention « j’accepte » à cocher chez EDF induit en erreur sur la portée de l’engagement : les données quotidiennes et à la demi-heure sont pressenties comme équivalentes. Pour Engie, aucune information suffisamment précise n’est donnée pour permettre de distinguer « index quotidien » (données journalières) et « courbe de charge » (données de consommation à l’heure ou à la demi-heure).
Les données de consommation conservées trop longtemps
Le deuxième manquement concerne la durée de conservation des données de consommation : elle est excessive. EDF et Engie ont globalement défini des durées de conservation de ces données, mais trop longues au regard des finalités. Les données à la demi-heure sont inutiles pour la facturation et ne doivent donc pas être conservées 5 ans après a résiliation du contrat, comme le prévoit EDF.
Selon le RGPD, les données fines ne doivent être mises à disposition que pendant 3 ans après la date de recueil du consentement. Engie les conserve 3 ans en base active, puis 8 ans en archivage intermédiaire. Or les coordonnées des clients peuvent être conservées pour prospection commerciale éventuelle, mais les données fines sont inutiles dans ce but.
Une mise en demeure publique
La mise en demeure de la CNIL porte donc sur ces différents points. L’Autorité demande aux deux sociétés de se mettre en conformité dans un délai de 3 mois. La publicité de cette mise en demeure lui apparaît nécessaire pour sensibiliser les clients quant aux droits dont ils disposent.
Si les deux sociétés se mettent en conformité dans le délai imparti par cette mise en demeure, aucune suite en sera donnée à cette action et la clôture de la procédure sera également publique. Dans le cas contraire, la CNIL pourra prononcer une sanction pour manquements au RGPD.
Source : CNIL