Retour aux articles

Compteur Linky : EDF et ENGIE mises en demeure sur le volet recueil du consentement

Tech&droit - Données
11/02/2020
La CNIL dénonce dans son communiqué du 11 février 2020 les modalités de recueil du consentement des consommateurs et la durée excessive de conservations des données. Le point.
Rappelons que le nombre de clients concernés par les compteurs communicants LINKY est important, puisque 35 millions de ces compteurs seront installés d’ici 2021.
 
 
Nouvelle étape dans le feuilleton de ces compteurs. Rien qu’en 2019, ce compteur communiquant a fait l’objet de cinq articles sur le site Actualités du droit :  
 
Plus spécifiquement concernant le recueil de données, rappelons qu’en 2018, c’est la société Direct énergie qui avait été mise en demeure, publiquement, en raison d’une absence de consentement à la collecte des données de consommation issues du compteur communicant Linky. En l’espèce, cette société informait bien ses clients de la collecte de données auprès du gestionnaire du réseau de distribution (ENEDIS), mais elle ne leur demandait pas leur accord au préalable (Mise en demeure par la CNIL de la société Direct Energie, Actualités du droit, 27 mars 2018).
 
 
Dans l'affaire EDF/ENGIE du 11 février 2020, La CNIL commence par relever qu’ « Il ressort de ces contrôles qu’EDF et ENGIE sont dans une trajectoire globale de mise en conformité » et souligne le fait que ces deux sociétés :
  • ont désigné un délégué à la protection des données ;
  • tiennent à jour un registre des traitements ;
  • mettent en œuvre des procédures afin de permettre aux personnes concernées d’exercer l’ensemble de leurs droits Informatique et Libertés (accès, opposition, effacement, etc.) ;
  • mettent en œuvre des modalités de recueil du consentement des personnes préalablement à la collecte de leurs données de consommation et ont défini des politiques de durée de conservation.
 
Ceci étant posé, restent deux points de blocage :
  • les modalités de recueil du consentement insatisfaisantes s’agissant de la collecte des données de consommation ;
  • une durée de conservation excessive des données de consommation.
 
Des modalités de recueil du consentement insatisfaisantes en matière de collecte de données de consommation
Pour la CNIL, « si les sociétés EDF et ENGIE recueillent effectivement un consentement auprès de leurs utilisateurs, ce consentement n’est ni spécifique ni suffisamment éclairé s’agissant des données de consommation à l’heure ou à la demi-heure ».
 
En pratique, EDF et ENGIE recueillent par le bais d’une seule et unique case à cocher le consentement pour deux opérations clairement distinctes, sans possibilité aucune de réserver son consentement à l’une ou l’autre opération :
  • l’affichage dans l’espace client des consommations quotidiennes ;
  • l’affichage des consommations à la demi-heure.
 
En outre, s’agissant de la société EDF, « la CNIL a constaté que le fait de cocher la case entraîne également une troisième opération de traitement, à savoir la fourniture de conseils personnalisés visant à réduire la consommation d’énergie du foyer ». Autrement dit, il s’agit ici d’un consentement global, contraire aux exigences du RGPD.
 
Autre point reproché à EDF, « la rédaction de la mention accompagnant la case à cocher « j’accepte » (…) particulièrement susceptible d’induire l’abonné en erreur sur la portée de son engagement. En effet, la société fait référence à la « consommation d’électricité quotidienne (toutes les 30 min) » et présente donc les données quotidiennes et à la demi-heure comme étant équivalentes, alors que ces dernières sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes ».
 
Côté ENGIE, la CNIL a « constaté qu’aucune information suffisamment précise n’était donnée, avant de recueillir le consentement, pour permettre à l’utilisateur de comprendre la différence de portée entre la collecte de « l’index quotidien » (données de consommation journalière) et la collecte de la « courbe de charge » (données de consommation fines à l’heure ou la demi-heure) ».
 
 
La conservation cinq ou trois ans des données de consommation jugée excessive
La CNIL relève que les sociétés EDF et ENGIE ont bien défini des durées de conservation, mais que celles-ci sont « parfois trop longues au regard des finalités pour lesquelles les données sont traitées ». Toujours ce principe de proportionnalité.
 
Côté EDF, il apparaît que la société conserve en base active (base contenant les données d’utilisation courante, par exemple pour l’exécution du contrat) les consommations quotidiennes et à la demi-heure cinq ans après la résiliation du contrat et qu’aucune procédure d’archivage n’est prévue.
 
Or pour la CNIL, « les données de consommation à la demi-heure ne sont pas nécessaires pour établir la facturation et n’ont dès lors pas à être conservées cinq ans après la résiliation du contrat ». Et ce d’autant qu’il existe une dissymétrie : les fournisseurs d’électricité ne sont tenus de mettre à disposition des clients leur historique de consommation que pendant une durée de trois années suivant la date de recueil du consentement.
 
Côté ENGIE, les contrôles ont révélé cette fois que la société conserve les données de consommation mensuelles de ses clients à l’issue de la résiliation de leur contrat et ce, pendant une durée de trois ans en base active, puis pendant une durée de huit ans en archivage intermédiaire (base contenant les données ayant encore un intérêt administratif, par exemple en cas de contentieux).
 
Mais, relève la CNIL, « si les coordonnées du client peuvent être conservées en base active pendant trois ans à l’issue de la résiliation du contrat pour que la société puisse effectuer de la prospection commerciale, les données de consommation mensuelles ne sont pas nécessaires pour cet objectif, de sorte que leur conservation ne saurait être justifiée par cette finalité ». Et d’autre part, « la conservation des données de consommation mensuelles à l’issue de la résiliation du contrat n’est pas non plus justifiée par la mise à disposition de ces données dans l’espace client de l’usager dans la mesure où cette mise à disposition n’est effective que pour une durée d’un an à l’issue de la résiliation du contrat ».
 
Ces deux sociétés ont désormais trois mois pour se mettre en conformité.
Source : Actualités du droit