Compteurs Linky : pourquoi la CNIL met en demeure EDF et Engie
Les sociétés EDF et Engie ont très récemment fait l’objet de mises en demeure de la CNIL qui estime que les conditions de recueil du consentement des utilisateurs et les durées de conservation des données collectées par les compteurs Linky ne sont pas conformes au Règlement Général relatif à la Protection des Données (RGPD).
Une granularité d’information qui en dit long sur les abonnés
La particularité des données de consommation dites « fines » ou « à la demi-heure » tient à leur granularité. Heures de lever et de coucher, périodes d’absence, nombre de personnes au sein du logement… Si le suivi de la consommation d’électricité à la demi-heure permet d’analyser et d’optimiser les abonnements, il informe également de façon précise sur la vie privée des utilisateurs.
Autant de risques pour les droits et libertés des personnes. Aussi, la CNIL s’était déjà emparée du sujet des compteurs communicants dès 2012 en publiant des recommandations relatives aux conditions de collecte des données de consommation. Elle avait même mis en place un « pack de conformité » spécifique en 2014.
Et le régulateur était déjà clair : dans la mesure où seule la consommation mensuelle est nécessaire à la facturation, les fournisseurs d’énergie ne peuvent disposer des données de consommations quotidiennes, horaires ou à la demi-heure qu’avec l’accord de l’abonné.
Le 11 février 2020, la CNIL informe avoir effectué une série de contrôles au sein des sociétés EDF et Engie. Elle constate certains manquements à la protection de la vie privée, malgré les nombreux efforts déployés pour leur mise en conformité au RGPD. D’ici 2021, 35 millions de compteurs doivent être installés, aussi le nombre de personnes concernées est un critère dont la CNIL n’a pas manqué de tenir compte.
En ligne de mire du régulateur, les modalités de recueil du consentement et les durées de conservation jugées excessives.
Le consentement à la collecte des données de consommation fines n’est ni Spécifique, ni éclairé
Selon les dispositions du RGPD, les différentes finalités envisagées lors de la collecte doivent faire l’objet de consentements distincts.
Ici la CNIL a constaté que le consentement est relevé par le biais d’une seule case à cocher donnant lieu à trois traitements de données différents : (1) l’affichage de la consommation quotidienne dans l’espace client, (2) l’affichage de la consommation à la demi-heure près et (3) la fourniture de conseils personnalisés pour la réduction de la consommation.
La CNIL estime donc qu’un « consentement global » n’est pas valable. Elle considère ainsi que l’utilisateur doit pouvoir consentir à l’une des finalités sans pour autant devoir souscrire aux autres.
La CNIL a aussi considéré qu’EDF et Engie présentent le traitement de données de consommation quotidiennes et celui de consommation à la demi-heure comme équivalents, ou sans donner suffisamment de précisions. L’éventuelle confusion de l’information ne permettrait donc pas à l’utilisateur de donner son accord en toute connaissance de cause.
Les données de consommation sont conservées pour une durée excessive
Bien que les sociétés EDF et Engie aient effectivement déterminé des durées de conservation, la CNIL considère qu’elles sont excessives.
Chez EDF, on conserve les données de consommation quotidiennes et à la demi-heure en base active pendant toute la durée du contrat, puis pendant 5 ans après sa résiliation. La CNIL estime cette conservation excessive au regard des finalités de traitement car ces données ne sont pas nécessaires à la facturation, qui est mensuelle.
De son côté, Engie garde les coordonnées du client et les informations nécessaires à l’exécution du contrat, dont les consommations mensuelles, pendant 3 ans en base active puis 8 ans en archivage intermédiaire après la fin du contrat. Là, la CNIL considère que les données de consommation mensuelle ne sont pas nécessaires à des fins de prospection commerciale et qu’elles doivent être supprimées. Leur conservation n’est pas non plus justifiée par leur mise à disposition dans l’espace client car celle-ci n’est effective que pendant 1 an après résiliation.
La CNIL met EDF et Engie en demeure de remédier à ces manquements dans un délai de 3 mois
La réaction d'EDF a été plutôt rapide : l’entreprise indique « prendre acte de la mise en demeure de la CNIL » et s'engage à mettre en place les corrections nécessaires.
De son côté, Engie précise avoir modifié ses services de telle sorte que le relevé des données de consommation à la demi-heure n’est plus en service.
La décision de rendre cette mise en demeure publique est une bonne chose en ce qu’elle permet d’en déduire de nombreux enseignements sur l’appréciation par la CNIL des modalités de recueil du consentement, de la définition des durées de conservation, mais aussi de la prise en compte du nombre de personnes concernées à terme…
À l’heure où de nombreuses entreprises estiment avoir finalisé leur mise en conformité, cette nouvelle affaire met l’accent sur la nécessité de passer à une phase de maintien de la conformité impliquant une revue systématique de la conformité des traitements au regard des arbitrages rendus publiques par le régulateur.