10 Juil 2020
COMPTEURS LINKY : LA CNIL MET EN DEMEURE ENGIE ET EDF
NOUVEAU : Utilisez nos services pour faire respecter vos droits en passant par le formulaire !
Depuis 2018 tous les acteurs du numérique, mais aussi et plus largement pour toutes les entreprises, doivent être en conformité au nouveau grand texte européen en matière de données personnelles.
Guillaume Gouffier-Cha interroge Mme la ministre de la transition écologique et solidaire sur les problématiques relatives à la collecte des données par les compteurs Linky en France. La mise en place des compteurs d’électricité connectés Linky soulève depuis leur lancement craintes et interrogations. L’enregistrement et le stockage de ces données personnelles ainsi que leur utilisation, notamment leur diffusion à des tiers, posent particulièrement question. Le 11 février 2020, la CNIL a envoyé une mise en demeure à EDF et Engie pour la non-conformité du compteur communicant avec le règlement général sur la protection des données (RGPD).
L’instance reproche deux points aux fournisseurs d’énergies : un manque de clarté dans le recueil du consentement sur les données de consommation journalières ou à la demi-heure et une durée de conservation des données trop longue après la résiliation du contrat. EDF garde ainsi les consommations quotidiennes à la demi-heure cinq ans après la résiliation tandis qu’Engie garde les données de consommations mensuelles huit ans en archivage intermédiaire.
La CNIL juge ces durées « non justifiées ». En outre, ces données fournissent des informations précieuses sur les habitudes des consommateurs (à quelle heure ils sont à leur domicile, combien de personnes s’y trouvent, le type d’appareils utilisés) et sont susceptibles d’être revendues à des acteurs commerciaux. C’est donc la remise en cause du respect de la vie privée qui est en jeu. Pour toutes ces raisons, il lui demande des éclaircissements sur le respect du RGPD dans le cadre du déploiement des compteurs Linky en France.
Besoin de l’aide d’un avocat pour un données personelles ?
Téléphonez nous au : 01 43 37 75 63
ou contactez nous en cliquant sur le lien
La CNIL a mis en demeure les sociétés de se conformer au droit en vigueur par deux délibérations du 30 décembre 2019, rendues publiques le 11 février 2020 principalement pour deux raisons : le nombre d’utilisateurs concernés, 35 millions de compteurs seront installés d’ici 2021, et l’impact des informations communiquées sur la vie privée (révélation des heures de lever et de coucher, des périodes d’absences, du nombre de personnes présentes dans le logement). Véritables cas d’école, ces décisions opèrent une mise au point sur les modalités à respecter pour obtenir le consentement préalable des personnes concernées et sur la notion de durée de conservation.
1. Un consentement non spécifique et insuffisamment éclairé
Une des particularités des compteurs communicants est de permettre aux fournisseurs d’énergie de collecter des données de consommation quotidiennes et fines, en l’espèce à la demi-heure, à la condition, rappelle la CNIL, d’avoir obtenu l’accord préalable de l’abonné. Aux termes de l’article 4.11 du RGPD, ce consentement est valable lorsqu’il a été donné de manière libre, spécifique, éclairée et univoque. À défaut, il ne peut pas servir de base légale au traitement au sens de l’article 6.1, a, du règlement.
Le caractère spécifique implique que « la personne concernée doit être en mesure de donner son consentement de façon indépendante et distincte pour chaque finalité poursuivie », précise la Commission (RGPD, consid. 43 ; G29, Lignes directrices WP 259 rev.01, 28 nov. 2017, révisées le 10 avr. 2018, p. 11).
Elle ajoute que le caractère éclairé oblige à informer « la personne concernée de certains éléments cruciaux pour opérer un choix [tels que] […] (ii) la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité (iii) les [types de] données collectées et utilisées » (WP 259 préc., p. 15).
Pour la CNIL, le consentement de l’utilisateur du compteur Linky n’est pas spécifique puisqu’il active globalement la collecte de ses données de consommation quotidienne et à la demi-heure par le biais d’une seule case à cocher, et ce pour deux (Engie) ou trois (EDF) finalités différentes, à savoir l’affichage dans l’espace client des consommations quotidiennes, l’affichage dans cet espace des consommations à la demi-heure et l’obtention de conseils personnalisés.
La Commission estime également que le consentement du client n’est pas éclairé. Dans sa délibération MED 2019-35 relative à EDF, elle critique la rédaction de la mention accompagnant la case à cocher qui fait référence à « la consommation d’électricité quotidienne (toutes les 30 minutes) ». Cette formulation risque d’induire l’abonné en erreur sur la portée de son engagement.
Les deux informations « sont présentées comme étant équivalentes, alors que les données à la demi-heure sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes ». Pour Engie, le grief n’est pas explicitement formulé dans la délibération MED 2019-36, on le retrouve dans le communiqué de l’autorité de contrôle. Elle reproche au fournisseur de ne donner aucune « information suffisamment précise […] avant de recueillir le consentement, pour permettre à l’utilisateur de comprendre la différence de portée entre la collecte de “l’index quotidien” (données de consommation journalière) et la collecte de la “courbe de charge” (données de consommation fines à l’heure ou la demi-heure) ».
2. Des durées de conservation excessives
En optant pour une conservation de cinq ans après la fin du contrat pour toutes les données de consommation, quotidiennes et à la demi-heure, en base active sans effectuer d’archivage intermédiaire, EDF a méconnu ce principe de proportionnalité. Pour la CNIL, les obligations de facturation et de mise à disposition de l’historique de consommation dans l’espace client excluent la fixation d’une durée de conservation aussi longue.
De même, en choisissant de conserver trois ans à l’issue de la résiliation du contrat les données relatives aux consommations mensuelles avant de les archiver, Engie a méconnu les règles susvisées. Cette durée n’est justifiée ni par un impératif de prospection commerciale ni par la nécessité de mettre à disposition les données dans l’espace client après la résiliation du contrat dans la mesure où le fournisseur a limité cette obligation à un an.
3. La mise en demeure
Pour corriger ces manquements, l’autorité enjoint aux sociétés de mettre en place de nouvelles procédures de recueil du consentement, par exemple sous forme d’une case à cocher par opération de traitement.
Les modifications devront s’appliquer aux clients dont les données de consommation ont déjà été enregistrées. À défaut, il conviendra de supprimer ces dernières. La CNIL exige aussi des sociétés qu’elles revoient leurs politiques de durée de conservation et qu’elles purgent, au besoin, les données non conformes aux nouvelles règles.
Les sociétés Engie et EDF ont trois mois pour se mettre en conformité à compter de la notification de la mise en demeure et éviter ainsi le prononcé de l’une des sanctions prévues par l’article 20 de la loi du 6 janvier 1978 modifiée. Nul doute qu’elles le feront, car, dans le cas contraire, elles risquent de se voir infliger une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.
Pour lire un version plus complète de cet article sur les compteurs linky et la Cnil, cliquez
SOURCES :
- https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000026958542
- https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1
- https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article6
- https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article5
- https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006069565&idArticle=LEGIARTI000032226713
