L’installation progressive des compteurs Linky sur le territoire français a suscité de nombreuses réactions. Pour ses détracteurs, le compteur Linky crée, notamment, des risques en matière de sécurité des données personnelles collectées.
Ces différends amènent régulièrement associations, particuliers, gestionnaire de réseau et fournisseurs d’électricité devant les tribunaux.
La société Enedis, qui installe les compteurs Linky en sa qualité de gestionnaire de réseau, a par exemple été autorisée par un arrêt en référé du Tribunal de grande instance de Bordeaux à ne pas recueillir le consentement de chacun des occupants des locaux équipés d’un compteur Linky, dès lors qu’il n’y a pas de transmission de données personnelles aux fournisseurs d’électricité.
Plus récemment, ce fut au tour des fournisseurs d’électricité de voir la conformité de leur traitement analysée, cette fois-ci par la Cnil.
Suite à des contrôles menés par ses services, la Cnil a mis en demeure les sociétés Engie et EDF de se mettre en conformité avec le RGPD par deux décisions prononcées le 31 décembre 2019, et rendues publiques le 11 février 2020.
En l’espèce, la Cnil reprochait aux sociétés Engie et EDF leurs pratiques en matière de collecte du consentement des consommateurs à la collecte et au traitement de leurs données et, les durées de conservation mises en œuvre.
Engie et EDF ont été mises en demeure de :
Mettre en place un recueil du consentement distinct pour chaque traitement envisagé des données de leurs clients consommateurs ;
Mettre en œuvre une politique de conservation de ces données conformes au RGPD.
Les deux sociétés disposent de trois mois à compter de la notification de la décision pour se mettre en conformité.
La Cnil a par ailleurs considéré que la publicité des mises en demeure était justifiée en raison de : « la nature du manquement au RGPD, (du) nombre de personnes concernées et (des) caractéristiques du traitement mis en œuvre ».
En matière de collecte du consentement à l’utilisation des données, la Cnil a relevé que les deux sociétés ne pratiquaient pas la collecte d’un consentement libre, spécifique, clair et univoque pour chaque finalité envisagée.
Avec une collecte unique du consentement des consommateurs, matérialisée par une case à cocher, elles collectent les données pour deux traitements distincts :
La communication des données de consommations journalières d’électricité ;
La communication des données de consommation fines d’électricité (horaires ou à la demi-heure).
La société EDF recueille par ce même dispositif un consentement à un troisième traitement : la communication de conseils personnalisés visant à réduire la consommation d’énergie des consommateurs.
La Cnil relève que, s’agissant de ces trois traitements distincts, les consommateurs peuvent souhaiter n’avoir accès qu’à l’un ou l’autre, et non aux trois.
A ce titre, le consentement des consommateurs à la collecte de ces données devrait être collecté séparément pour chaque traitement en application des dispositions de l’article 6, paragraphe 1, article a) du RGPD.
Pour rappel, le considérant 43 du RGPD dispose également que le consentement est présumé ne pas avoir été donné librement lorsqu’il ne peut pas être donné de manière distincte à différentes opérations de traitement de données à caractère personnel.
La Cnil souligne l’importance de la collecte d’un consentement clair et spécifique dans la mesure où les données de consommation recueillies par les compteurs peuvent être sensibles. Elles concernent notamment les heures de présence et d’absence des occupants d’un logement, ainsi que leurs heures de coucher.
La Cnil s’est également montrée critique des durées de conservation retenues et appliquées par EDF et Engie.
EDF conserve ainsi les données de consommation pendant cinq ans à compter de la résiliation du contrat, sans prévoir de périodes d’archivage.
Engie conserve les données de consommation pendant trois ans à compter de la résiliation du contrat, et les archive pendant huit ans.
La Cnil relève que ces durées sont excessives. Seules les coordonnées du client peuvent être conservées en base active, à des fins de prospection commerciale. Les données de consommation mensuelle ne sont pas nécessaires à la prospection commerciale.
Si le code de la consommation dispose en son article D. 224-26 que l’historique de consommation doit être mis à disposition du consommateur pendant trois ans, encore faut-il que les données conservées aient été collectées conformément à la réglementation en vigueur.
La Cnil relève par ailleurs que ces données ne sont accessibles aux clients que pendant un an postérieurement à la résiliation du contrat chez Engie, ce qui rend leur conservation pendant deux années supplémentaires d’autant plus injustifiées.
Engie et EDF devront donc mettre en place un mécanisme de collecte du consentement séparé pour les données de consommation journalières, les données de consommation fines (horaires ou demi-journée) et la fourniture de recommandations.
Ce recueil du consentement est également valable pour les données déjà collectées. Faute de recueil conforme, les données déjà collectées devront être détruites.
Par ailleurs, les deux sociétés devront également mettre en œuvre une politique de conservation des données d’une durée nécessaire aux finalités poursuivies lors de la collecte. Le cas échéant, les données déjà collectées devront être purgées lorsqu’elles auront été conservées pour une durée supérieure.
Source :
Décision n° MED 2019-035 du 31 décembre 2019 mettant en demeure la société ÉLECTRICITÉ DE FRANCE (EDF)
Décision n° MED 2019-036 du 31 décembre 2019 mettant en demeure la société ENGIE
Délibération n°MEDP-2020-002 du 20 janvier 2020 (société Engie)
Délibération n°MEDP-2020-001 du 20 janvier 2020 (société EDF)