La CNIL met en demeure d'EDF et d'Engie. Les deux fournisseurs d'énergie sont accusés d'enfreindre le RGPD avec le compteur Linky. Ils ont trois mois pour rentrer dans le rang.

Trois mois. Voilà le délai qui est laissé à EDF et à Engie pour se mettre pleinement en conformité avec le Règlement général sur la protection des données (RGPD). Mardi 11 février, la Commission nationale de l’informatique et des libertés (CNIL) a mis en demeure les deux géants de l’énergie, parce que les conditions d’exploitation du compteur communicant Linky ne sont pas légales.

Un compteur Linky. // Source : Ener356

Il a été constaté à l’occasion de plusieurs contrôles que les deux sociétés n’ont pas respecté certaines exigences sur le recueil du consentement individuel et sur la durée de conservation des données de consommation. D’où la décision de la CNIL de leur mettre la pression pour qu’elles redressent la barre et surtout de rendre la procédure publique, au regard de la nature des faits et du nombre d’individus concernés.

Ce n’est pas la première fois que la CNIL intervient sur le secteur de l’énergie avec le RGPD sous le bras. En 2018, l’autorité indépendante avait mis en garde Direct Énergie pour des faits similaires. Il était reproché au fournisseur de jouer sur la confusion du public pour lui soutirer un prétendu consentement dans le cadre de la mise en place du Linky, de façon à récupérer des données très fines sur la consommation. Les choses avaient fini par rentrer dans l’ordre, évitant ainsi d’en arriver aux sanctions.

Deux infractions au RGPD

Dans le détail, la CNIL reproche à EDF et ENGIE de ne pas solliciter un consentement à la fois spécifique (une approbation distincte par but pour la collecte des données) et éclairé (que le particulier soit suffisamment informé de ce qui est fait de ses données). Dans le premier cas, les deux compagnies ne prévoient qu’une case unique à cocher, et dans le second, les explications sont tantôt trompeuses, tantôt imprécises.

Ainsi, à propos d’EDF, « la société fait référence à la ‘consommation d’électricité quotidienne (toutes les 30 min)’ et présente donc les données quotidiennes et à la demi-heure comme étant équivalentes, alors que ces dernières sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes ». Cette manière de faire « est particulièrement susceptible d’induire l’abonné en erreur sur la portée de son engagement », relève la CNIL.

L’autre grief porte sur la durée de conservation des données, jugée « trop longue au regard des finalités pour lesquelles les données sont traitées ». Pour EDF, celle-ci atteint 5 ans après la résiliation du contrat pour les consommations quotidiennes et à la demi-heure, sans procédure d’archivage, alors que ces informations ne sont pas requises pour la facturation et ne devraient donc pas être gardées aussi longtemps. En outre, cette durée ne doit pas excéder 3 ans.

Des durées de conservations de données trop longues au regard des finalités

Du côté d’Engie, la durée de conservation est de trois ans en base active (par exemple pour de la prospection commerciale) plus huit ans en archivage (en cas de contentieux) pour les données de consommation mensuelles. Là encore, c’est beaucoup trop long au regard des finalités. En cas de résiliation du contrat, Engie ne devrait fournir ces informations que pendant un an dans l’espace client.

Une mise en cause publique nécessaire

Malgré deux écarts notables qui ont conduit à une mise en demeure publique, la CNIL a toutefois adressé un satisfecit à EDF et Engie. Les deux entreprises « sont dans une trajectoire globale de mise en conformité » vis-à-vis du RGPD, avec plusieurs dispositions qui ont été prises : désignation d’un délégué à la protection des données, registre des traitements à jour, existence de procédures pour faire valoir ses droits, etc.

D’ordinaire, la CNIL ne rend pas systématiquement publique chaque mise en demeure qu’elle prononce à l’égard de telle ou telle organisation en défaut par rapport au RGPD. Cependant, dans le cas d’EDF et d’Engie, l’autorité a tenu compte de la nature des fautes commises (dont l’évitement est pourtant une « obligation essentielle »), du nombre de personnes concernées (35 millions de compteurs communicants Linky doivent être déployés d’ici 2021), et de la nécessité de sensibiliser le public sur les droits dont il dispose et sur les risques encourus en termes de vie privée.

« La CNIL estime qu’il est essentiel que les clients puissent garder la maîtrise des données de consommation fines [de l’ordre de la demi-heure, NDLR], qui peuvent révéler des informations sur leur vie privée (heures de lever et de coucher, périodes d’absence, éventuellement le nombre de personnes présentes dans le logement) », conclut l’autorité.

Partager sur les réseaux sociaux