La CNIL a mis en demeure les sociétés EDF et ENGIE en raison du non-respect de certaines des exigences relatives au recueil du consentement à la collecte des données de consommation issues des compteurs communicants LINKY, ainsi que pour une durée de conservation excessive des données de consommation1
Les sociétés ont trois mois pour se mettre en conformité.
Linky est un compteur communicant qui transmet des données de consommation et reçoit des ordres à distance. Dans la mesure où les données de consommation fines peuvent révéler des informations sur la vie privée (heures de lever et de coucher, périodes d'absence, éventuellement le nombre de personnes présentes dans le logement), les règles de protection de données peuvent s'appliquer.
Les compteurs LINKY sont actuellement en cours de déploiement par ENEDIS, le gestionnaire du réseau de distribution de l'électricité et du gaz fourni par la société anonyme Électricité de France (EDF). ENEDIS prévoit d'installer 35 millions de compteurs communicants d'ici 2021.
Les insuffisances de conformité relevées par la CNIL concernent les modalités de recueil du consentement des personnes préalablement à la collecte de leurs données de consommation et les politiques de durée de conservation.
Sur la collecte des données de consommation issues des compteurs communicants LINKY
EDF
Lors des contrôles effectués les 11 et 12 mars 2019, la CNIL a constaté que la société EDF recueille le consentement des usagers à la collecte de leurs données de consommation fines par le biais d'une case à cocher.
Plus précisément, l'usager se voit proposer d'activer la collecte de ses données quotidiennes et à la demi-heure via une seule case à cocher « j'autorise », rédigée ainsi : « Ma consommation d'électricité quotidienne (toutes les 30min), mon historique ainsi que ma puissance maximale atteinte ». En complément, en cliquant sur un lien « plus d'informations », il est précisé « Ma conso au jour le jour : la connaître pour mieux comprendre et maîtriser ma consommation avec l'affichage de ma consommation quotidienne (toutes les 30 min), mon historique ainsi que ma puissance maximale atteinte. Enedis transmet mes données de consommation à EDF qui me fournit des conseils personnalisés sur ma consommation ».
Ce consentement est ainsi recueilli pour les finalités suivantes : l'affichage dans l'espace client des consommations quotidiennes, l'affichage dans l'espace client des consommations à la demi-heure et des conseils personnalisés visant à mieux maîtriser les consommations d'électricité.
Pour rappel, le consentement pour être valable doit être libre, spécifique, éclairé et univoque en application de l'article 4, paragraphe 11, du RGPD. Lorsqu'un de ces critères fait défaut, le consentement ne peut être retenu comme base légale du traitement au sens de l'article 6, paragraphe 1, a) du RGPD.
La CNIL considère dans le cas présent que le consentement des utilisateurs n'est ni spécifique ni suffisamment éclairé. La société EDF recueille le consentement des usagers à la collecte de leurs données de consommation quotidienne et à la demi-heure par le biais d'une seule case à cocher, et ce pour trois finalités distinctes, à savoir l'affichage dans l'espace client des consommations quotidiennes, l'affichage dans l'espace client des consommations à la demi-heure et des conseils personnalisés visant à mieux maîtriser leur consommation d'électricité. Or, ces opérations de traitement sont distinctes et indépendantes les unes des autres (l'usager peut souhaiter consulter l'historique de ses consommations à la journée, sans nécessairement vouloir bénéficier d'un affichage à la demi-heure ou souhaiter recevoir des conseils personnalisés de la part de son fournisseur). Pour la CNIL, l'usager devrait pouvoir donner un consentement par finalité et activer la collecte des index journaliers, sans nécessairement devoir accepter d'activer de manière corrélée celle de la courbe de charge.
ENGIE
La société ENGIE conserve les données de consommation mensuelles de ses clients à l'issue de la résiliation de leur contrat pendant une durée de trois ans en base active, puis pendant une durée de huit ans en archivage intermédiaire (base contenant les données ayant encore un intérêt administratif, par exemple en cas de contentieux).
La CNIL considère que si les coordonnées du client peuvent être conservées en base active pendant trois ans à l'issue de la résiliation du contrat pour que la société puisse effectuer de la prospection commerciale, la conservation des données de consommation mensuelles ne poursuit pas cet objectif (ni celui d'ailleurs de mettre à disposition ces données dans l'espace client de l'usager puisque cette mise à disposition n'est effective en pratique que pour une durée d'un an à l'issue de la résiliation du contrat).
Aucune suite ne sera donnée à ces procédures si les sociétés se conforment au RGPD dans le délai imparti de 3 mois. Dans ce cas, la clôture de chaque procédure sera également publique.
Si les sociétés ne se conforment pas à leur mise en demeure dans le délai imparti, la présidente de la CNIL pourra saisir la formation restreinte de la CNIL, chargée de sanctionner les manquements au RGPD, afin que, le cas échéant, soit prononcée une sanction.
Footnote
Pour lire en Anglais, veuillez cliquer ici.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
