Le gendarme des donnĂ©es personnelles vient dâannoncer la mise en demeure dâEDF et dâEngie, en leur qualitĂ© de fournisseurs dâĂ©lectricitĂ© exploitant les compteurs connectĂ©s Linky. La Cnil leur reproche un dĂ©faut de recueil du consentement Ă©clairĂ© et spĂ©cifique et des durĂ©es de conservation des donnĂ©es trop longues.
Sur le dossier ĂŽ combien sensible des compteurs Linky, la Cnil se montre particuliĂšrement vigilante. Ainsi, en mars 2018, elle Ă©pinglait Direct Energie, lui reprochant dâĂ©chouer Ă recueillir de maniĂšre conforme Ă la rĂ©glementation le consentement des usagers Ă la collecte et au traitement de leurs donnĂ©es de consommation Ă©lectrique. En octobre de cette mĂȘme annĂ©e, la mise en demeure Ă©tait clĂŽturĂ©e, le fournisseur dâĂ©lectricitĂ© sâĂ©tant entre temps mis en conformitĂ©.
Deux ans plus tard, câest au tour dâEDF et dâEngie dâavoir droit aux attentions du gendarme des donnĂ©es personnelles. Les deux fournisseurs ont Ă©tĂ© mis en demeure. Fait rare, la Cnil reconnaĂźt dans son communiquĂ© quâau terme des contrĂŽles menĂ©s, « EDF et ENGIE sont dans une trajectoire globale de mise en conformité ». Ce qui nâempĂȘche pas le constat de deux manquements que le rĂ©gulateur entend voir cesser dans les trois mois.
Pas assez Ă©clairĂ©âŠ
A commencer par le consentement des usagers. Si EDF comme Engie demandent effectivement Ă leurs usagers sâils acceptent la collecte de leurs donnĂ©es, ce consentement nâest ni spĂ©cifique, ni suffisamment Ă©clairĂ©. En effet, une seule case Ă cocher pour deux voire trois finalitĂ©s distinctes : affichage des consommations quotidiennes, affichage des consommations Ă la demi-heure et fourniture de conseils personnalisĂ©s.
Or la Cnil fait remarquer que « un usager peut souhaiter consulter lâhistorique de ses consommations Ă la journĂ©e, sans pour autant vouloir transmettre Ă son fournisseur des donnĂ©es « à la demi-heure », bien plus prĂ©cises sur sa vie privĂ©e. De mĂȘme, il peut vouloir ĂȘtre informĂ© sur sa consommation sans pour autant recevoir des conseils personnalisĂ©s de la part de son fournisseur ».
Outre ce consentement global contraire au RGPD, lâinformation fournie est insuffisante Ă ce quâil soit Ă©clairĂ©. Dans le cas dâEDF, rĂ©fĂ©rence est faite Ă la « consommation dâĂ©lectricitĂ© quotidienne (toutes les 30 min) », prĂ©sentant donc sur un mĂȘme plan les deux types de donnĂ©es, ce qui est faux, les relevĂ©s « toutes les 30 minutes » Ă©tant bien « plus rĂ©vĂ©latrices des habitudes de vie des personnes que les donnĂ©es quotidiennes ». Pas mieux du cĂŽtĂ© dâEngie, aucune information nâĂ©tait fournie permettant de comprendre la diffĂ©rence entre les deux types de donnĂ©es.
⊠et trop long
Autre manquement, la durĂ©e de conservation des donnĂ©es. Les deux sociĂ©tĂ©s ont bien fait leur travail, Ă savoir dĂ©finir des durĂ©es de conservation des donnĂ©es. Manque de chance, celles-ci sâavĂšrent parfois trop longues au regard de la finalitĂ© poursuivie. Ainsi, EDF conserve en base active les consommations quotidiennes et Ă la demi-heure cinq ans aprĂšs la rĂ©siliation. Or les secondes, ne servant pas Ă la facturation, nâont pas Ă ĂȘtre conservĂ©es aussi longtemps aprĂšs rĂ©siliation du contrat.
Du cĂŽtĂ© dâEngie, ce sont les donnĂ©es de consommation mensuelle qui sont conservĂ©es trois ans en base active, puis pendant une durĂ©e de huit ans en archivage intermĂ©diaire. Ce qui lĂ encore nâest pas justifiĂ©, estime la Cnil. « La conservation des donnĂ©es de consommation mensuelles Ă lâissue de la rĂ©siliation du contrat nâest pas non plus justifiĂ©e par la mise Ă disposition de ces donnĂ©es dans lâespace client de lâusager dans la mesure oĂč cette mise Ă disposition nâest effective que pour une durĂ©e dâun an Ă lâissue de la rĂ©siliation du contrat » Ă©crit-elle.