Compteurs Linky : EDF et Engie mis en demeure par la Cnil pour leur collecte de données

Votre compteur électrique veille… parfois un peu trop. Pour y remédier, la Commission nationale de l’informatique et des libertés (Cnil) met en demeure, dans une décision rendue publique ce mardi 11 février, EDF et Engie pour « non-respect de certaines conditions de recueil du consentement concernant les données des compteurs communicants » Linky, et pour une durée de conservation excessive des données. L’institution invite les entreprises à se conformer rapidement au Règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018. Si elles ne le font pas d’ici 3 mois, des sanctions sont susceptibles d’être appliquées.

NIVEAU DE CONFORMITÉ INSUFFISANT

Heures du réveil, du coucher, temps d’absence, nombre de personnes présentes… Pour la Cnil, « les données de consommation fines peuvent révéler des informations sur la vie privée » des clients, dont ils doivent « garder la maîtrise« . Conformément au RGPD, toute collecte doit se faire avec l’accord « libre, spécifique, éclairé et univoque » des personnes concernées.

Or, selon le gendarme des données personnelles français, si EDF et Engie « recueillent effectivement un consentement auprès de leurs utilisateurs« , « leur niveau de conformité est insuffisant » : « (Le) consentement n’est ni spécifique, ni suffisamment éclairé s’agissant des données de consommation à l’heure ou à la demi-heure« , estime l’organisme. Après une série de contrôles chez ces entreprises, la Cnil a ainsi constaté que pour deux opérations différentes, les sociétés ne proposent qu’une seule et unique case à cocher : l’affichage dans l’espace client des consommations quotidiennes, et celui des consommations à la demi-heure.

TEMPS DE CONSERVATION EXCESSIF DES DONNÉES

L’institution a également noté que cocher cette case entraîne l’envoi aux usagers de conseils personnalisés, visant à réduire la consommation d’énergie. Une triple opération non conforme aux exigences du RGPD. Concernant EDF, la mention de la case « j’accepte » serait, selon la Cnil, « particulièrement susceptible d’induire l’abonné en erreur sur la portée de son engagement« . L’entreprise présente les données quotidiennes et à la demi-heure comme « étant équivalentes« , bien que différentes – les 30 minutes permettant d’obtenir plus de précisions sur le comportement de l’utilisateur. Tout comme Engie, dont « aucune information suffisamment précise n’était donnée, avant de recueillir le consentement » dans la collecte de « l’index quotidien » – consommation journalière – et la « courbe de charge » – à l’heure ou à la demi-heure.

Deuxième reproche majeur aux sociétés : le temps de conservation excessif des données. « Si (Engie et EDF) ont globalement défini des durées de conservation, les vérifications de la Cnil ont notamment révélé que ces (temps) sont parfois trop (longs) au regard des finalités pour lesquelles les données sont traitées« , peut-on lire sur le site.

EDF conserverait, en base active, les informations quotidiennes et à la demi-heure pendant cinq ans après la résiliation du contrat. Aucune procédure d’archivage n’est prévue, alors que les fournisseurs d’électricité doivent mettre à disposition les historiques de consommation uniquement pendant 3 ans après la date de recueil du consentement. Concernant Engie, le gendarme français des données personnelles a révélé que la société conserverait, aussi en base active, les données de consommation mensuelle pendant trois ans après la résiliation du contrat, et pendant 8 ans en archivage intermédiaire.