Le gendarme des données personnelles vient d’annoncer la mise en demeure d’EDF et d’Engie, en leur qualité de fournisseurs d’électricité exploitant les compteurs connectés Linky. La Cnil leur reproche un défaut de recueil du consentement éclairé et spécifique et des durées de conservation des données trop longues.
Sur le dossier ô combien sensible des compteurs Linky, la Cnil se montre particulièrement vigilante. Ainsi, en mars 2018, elle épinglait Direct Energie, lui reprochant d’échouer à recueillir de manière conforme à la réglementation le consentement des usagers à la collecte et au traitement de leurs données de consommation électrique. En octobre de cette même année, la mise en demeure était clôturée, le fournisseur d’électricité s’étant entre temps mis en conformité.
Deux ans plus tard, c’est au tour d’EDF et d’Engie d’avoir droit aux attentions du gendarme des données personnelles. Les deux fournisseurs ont été mis en demeure. Fait rare, la Cnil reconnaît dans son communiqué qu’au terme des contrôles menés, « EDF et ENGIE sont dans une trajectoire globale de mise en conformité ». Ce qui n’empêche pas le constat de deux manquements que le régulateur entend voir cesser dans les trois mois.
Pas assez éclairé…
A commencer par le consentement des usagers. Si EDF comme Engie demandent effectivement à leurs usagers s’ils acceptent la collecte de leurs données, ce consentement n’est ni spécifique, ni suffisamment éclairé. En effet, une seule case à cocher pour deux voire trois finalités distinctes : affichage des consommations quotidiennes, affichage des consommations à la demi-heure et fourniture de conseils personnalisés.
Or la Cnil fait remarquer que « un usager peut souhaiter consulter l’historique de ses consommations à la journée, sans pour autant vouloir transmettre à son fournisseur des données « à la demi-heure », bien plus précises sur sa vie privée. De même, il peut vouloir être informé sur sa consommation sans pour autant recevoir des conseils personnalisés de la part de son fournisseur ».
Outre ce consentement global contraire au RGPD, l’information fournie est insuffisante à ce qu’il soit éclairé. Dans le cas d’EDF, référence est faite à la « consommation d’électricité quotidienne (toutes les 30 min) », présentant donc sur un même plan les deux types de données, ce qui est faux, les relevés « toutes les 30 minutes » étant bien « plus révélatrices des habitudes de vie des personnes que les données quotidiennes ». Pas mieux du côté d’Engie, aucune information n’était fournie permettant de comprendre la différence entre les deux types de données.
… et trop long
Autre manquement, la durée de conservation des données. Les deux sociétés ont bien fait leur travail, à savoir définir des durées de conservation des données. Manque de chance, celles-ci s’avèrent parfois trop longues au regard de la finalité poursuivie. Ainsi, EDF conserve en base active les consommations quotidiennes et à la demi-heure cinq ans après la résiliation. Or les secondes, ne servant pas à la facturation, n’ont pas à être conservées aussi longtemps après résiliation du contrat.
Du côté d’Engie, ce sont les données de consommation mensuelle qui sont conservées trois ans en base active, puis pendant une durée de huit ans en archivage intermédiaire. Ce qui là encore n’est pas justifié, estime la Cnil. « La conservation des données de consommation mensuelles à l’issue de la résiliation du contrat n’est pas non plus justifiée par la mise à disposition de ces données dans l’espace client de l’usager dans la mesure où cette mise à disposition n’est effective que pour une durée d’un an à l’issue de la résiliation du contrat » écrit-elle.