menu
Actualités
Publié le 28 février 2020 par Laure Marolleau

RGPD et compteurs Linky : Mise en demeure d’EDF et ENGIE par la CNIL

La CNIL a mis en demeure les sociétés EDF et ENGIE en raison du non-respect de certaines des exigences relatives au recueil du consentement à la collecte des données de consommation issues des compteurs communicants LINKY, ainsi que pour une durée de conservation excessive des données de consommation[1].

Les sociétés ont trois mois pour se mettre en conformité.

Linky est un compteur communicant qui transmet des données de consommation et reçoit des ordres à distance. Dans la mesure où les données de consommation fines peuvent révéler des informations sur la vie privée (heures de lever et de coucher, périodes d’absence, éventuellement le nombre de personnes présentes dans le logement), les règles de protection de données peuvent s’appliquer.

Les compteurs LINKY sont actuellement en cours de déploiement par ENEDIS, le gestionnaire du réseau de distribution de l’électricité et du gaz fourni par la société anonyme Électricité de France (EDF). ENEDIS prévoit d’installer 35 millions de compteurs communicants d’ici 2021.

Les insuffisances de conformité relevées par la CNIL concernent les modalités de recueil du consentement des personnes préalablement à la collecte de leurs données de consommation et les politiques de durée de conservation.

Sur la collecte des données de consommation issues des compteurs communicants LINKY

EDF

Lors des contrôles effectués les 11 et 12 mars 2019, la CNIL a constaté que la société EDF recueille le consentement des usagers à la collecte de leurs données de consommation fines par le biais d’une case à cocher.

Plus précisément, l’usager se voit proposer d’activer la collecte de ses données quotidiennes et à la demi-heure via une seule case à cocher « j’autorise », rédigée ainsi : « Ma consommation d’électricité quotidienne (toutes les 30min), mon historique ainsi que ma puissance maximale atteinte ». En complément, en cliquant sur un lien « plus d’informations », il est précisé « Ma conso au jour le jour : la connaître pour mieux comprendre et maîtriser ma consommation avec l’affichage de ma consommation quotidienne (toutes les 30 min), mon historique ainsi que ma puissance maximale atteinte. Enedis transmet mes données de consommation à EDF qui me fournit des conseils personnalisés sur ma consommation ».

Ce consentement est ainsi recueilli pour les finalités suivantes : l’affichage dans l’espace client des consommations quotidiennes, l’affichage dans l’espace client des consommations à la demi-heure et des conseils personnalisés visant à mieux maîtriser les consommations d’électricité.

Pour rappel, le consentement pour être valable doit être libre, spécifique, éclairé et univoque en application de l’article 4, paragraphe 11, du RGPD. Lorsqu’un de ces critères fait défaut, le consentement ne peut être retenu comme base légale du traitement au sens de l’article 6, paragraphe 1, a) du RGPD.

La CNIL considère dans le cas présent que le consentement des utilisateurs n’est ni spécifique ni suffisamment éclairé. La société EDF recueille le consentement des usagers à la collecte de leurs données de consommation quotidienne et à la demi-heure par le biais d’une seule case à cocher, et ce pour trois finalités distinctes, à savoir l’affichage dans l’espace client des consommations quotidiennes, l’affichage dans l’espace client des consommations à la demi-heure et des conseils personnalisés visant à mieux maîtriser leur consommation d’électricité. Or, ces opérations de traitement sont distinctes et indépendantes les unes des autres (l’usager peut souhaiter consulter l’historique de ses consommations à la journée, sans nécessairement vouloir bénéficier d’un affichage à la demi-heure ou souhaiter recevoir des conseils personnalisés de la part de son fournisseur). Pour la CNIL, l’usager devrait pouvoir donner un consentement par finalité et activer la collecte des index journaliers, sans nécessairement devoir accepter d’activer de manière corrélée celle de la courbe de charge.

ENGIE

De la même façon, lors du contrôle effectué le 21 février 2019, la CNIL a constaté qu’ENGIE recueille par le bais d’une seule et unique case à cocher le consentement pour deux opérations clairement distinctes : l’affichage dans l’espace client des consommations quotidiennes et l’affichage des consommations à la demi-heure, et qu’elle ne donne aucune information suffisamment précise avant de recueillir le consentement, pour permettre à l’utilisateur de comprendre la différence de portée entre la collecte de « l’index quotidien » (données de consommation journalière) et la collecte de la « courbe de charge » (données de consommation fines à l’heure ou la demi-heure).

Pour les mêmes raisons, elle a considéré que le consentement des utilisateurs n’est ni spécifique ni suffisamment éclairé.

Sur les durées de conservation

EDF

La société EDF conserve en base active les données de consommation quotidiennes et à la demi-heure pendant la durée de vie du contrat puis pendant cinq ans, sans procéder à un archivage intermédiaire, qu’il soit physique sur un serveur distinct ou logique via une restriction des accès. Aucune procédure de purge automatisée n’est mise en place notamment pour des raisons de complexité technique.

Pour rappel, l’article 5, paragraphe 1, e) du RGPD, exige que les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

La CNIL considère que la conservation des données quotidiennes et à la demi-heure en base active pendant la durée de vie du contrat puis pendant cinq ans, pour tous les types de contrats, sans archivage intermédiaire, est excessive (ni les données de consommation à la demi-heure ni les données de consommation quotidienne ne sont nécessaires à la facturation de l’électricité consommée, qui est mensuelle).

En outre, les fournisseurs d’électricité ne sont tenus de mettre à disposition des clients leur historique de consommation que pendant une durée de trois années suivant la date de recueil du consentement (article D. 224-26 du code de la consommation).

ENGIE

La société ENGIE conserve les données de consommation mensuelles de ses clients à l’issue de la résiliation de leur contrat pendant une durée de trois ans en base active, puis pendant une durée de huit ans en archivage intermédiaire (base contenant les données ayant encore un intérêt administratif, par exemple en cas de contentieux).

La CNIL considère que si les coordonnées du client peuvent être conservées en base active pendant trois ans à l’issue de la résiliation du contrat pour que la société puisse effectuer de la prospection commerciale, la conservation des données de consommation mensuelles ne poursuit pas cet objectif (ni celui d’ailleurs de mettre à disposition ces données dans l’espace client de l’usager puisque cette mise à disposition n’est effective en pratique que pour une durée d’un an à l’issue de la résiliation du contrat).

Aucune suite ne sera donnée à ces procédures si les sociétés se conforment au RGPD dans le délai imparti de 3 mois. Dans ce cas, la clôture de chaque procédure sera également publique.

Si les sociétés ne se conforment pas à leur mise en demeure dans le délai imparti, la présidente de la CNIL pourra saisir la formation restreinte de la CNIL, chargée de sanctionner les manquements au RGPD, afin que, le cas échéant, soit prononcée une sanction.


[1] https://www.cnil.fr/fr/edf-et-engie-mises-en-demeure-pour-non-respect-de-certaines-conditions-de-recueil-du-consentement