Compteurs Linky : EDF et Engie ont modifié leurs pratiques après une plainte de la Cnil
Suite à une série de contrôles sur la gestion des compteurs Linky, la Cnil a mis en demeure EDF et Engie pour avoir violé plusieurs dispositions du RGPD. Les deux entreprises ne respectent pas les règles liées au consentement des usagers et conservent trop longtemps certaines informations. Cette mise en demeure a été clôturée le 16 février.
Alice Vitard
Mis à jour
16 février 2021
Mise à jour (16/02/2021) : La Cnil a décidé de clôturer la mise en demeure à l'encontre d'EDF et d'Engie. A la suite d'un contrôle, elle avait conclu que le consentement des utilisateurs pour la collecte de leurs données de consommation à la demi-heure n’était "ni spécifique ni suffisamment éclairé". Ces données étaient également conservées trop longtemps, notait la Cnil. Depuis, les pratiques des deux sociétés ont changé pour se mettre en conformité avec la législation en vigueur. Un nouveau parcours de consentement et une nouvelle politique de conservation des données ont été mises en place.
Article original : La présidente de la Commission nationale de l'informatique et des libertés (Cnil), Marie-Laure Denis, met en demeure le 11 février 2020 les sociétés EDF et Engie pour leur gestion des compteurs Linky en invoquant deux motifs : non-respect des règles liées au consentement et conservation excessive des données.
La Cnil rappelle que l'usage des "compteurs communicants" doit être strictement encadré, car les données de "consommation fine" peuvent révéler des informations sur la vie privée comme, par exemple, les heures de lever et de coucher ou les périodes d'absence. "Il est donc essentiel que les clients puissent garder la maîtrise de leurs données", tranche l'autorité française dans son communiqué. Suite à une série de contrôles, la Cnil affirme qu'EDF et en Engie sont dans "une trajectoire globale de mise en conformité", mais deux manquements ont été constatés.
Un consentement ni spécifique ni éclairé
Premièrement, le gendarme de la vie privée déclare si que les deux sociétés recueillent effectivement un consentement auprès de leurs utilisateurs, ce consentement n'est "ni spécifique ni suffisamment éclairé" s'agissant des données de consommation à l'heure ou à la demi-heure. En effet, le Règlement général sur la protection des données (RGPD) impose de recueillir un consentement dit "spécifique", c'est-à-dire distinct pour chaque objectif poursuivi par la collecte des données.
Or, la Cnil a constaté qu'EDF et Engie recueillent le consentement par le biais d'une seule et unique case à cocher pour deux opérations distinctes : l'affichage dans l'espace clients des consommations quotidiennes et l'affichage des consommations à la demi-heure. S'agissant uniquement d'EDF, elle a constaté que le fait de cocher la case entraînait une troisième opération : la fourniture de conseils personnalisés pour réduire la consommation d'énergie du foyer. "Un tel consentement global est contraire aux exigences du RGPD", conclut la Cnil. Concrètement, cela signifie qu'un usager devrait pouvoir activer la collecte des index journaliers par son fournisseurs sans devoir accepter en plus d'activer celle de la courbe de charge ou d'être "démarché pour des conseils personnalisés".
Par ailleurs, le texte européen exige un consentement "éclairé" c'est-à-dire suffisamment informé. Or, s'agissant d'EDF, la Cnil a constaté que la rédaction de la mention accompagnant la case à cocher "j'accepte" est "particulièrement susceptible d'induire l'abonné en erreur sur la portée de son engagement". La société fait référence à la "consommation d'électricité quotidienne (toutes les 30 minutes" et présente donc les données quotidiennes et à la demi-heure comme étant équivalentes. Or la Cnil note que ces dernières sont plus "révélatrices des habitudes de vie des personnes" que les données quotidiennes. Du côté d'Engie, la Cnil a remarqué qu'aucune information "suffisamment précise" n'était donné avant de recueillir le consentement de l'utilisation pour lui permettre de comprendre la différence entre "la collecte de l'index quotidien" et "la collecte de la courbe de change".
Des durées excessives de conservation des données
Deuxièmement, le gendarme de la vie privée reproche à EDF et à Engie de conserver les données trop longtemps par rapport aux finalités poursuivies. EDF conserve les informations sur les consommations quotidiennes et à la demi-heure cinq ans après la résiliation du contrat. "Les données de consommation à la demi-heure ne sont pas nécessaires pour établir la facturation et n'ont dès lors pas à être conservées cinq ans", écrit la Cnil. Par ailleurs, les contrôles ont révélé qu'Engie conserve les données de consommation mensuelle de ses clients pendant une durée de trois à l'issue de la résiliation de leur contrat et pendant 8 ans en archivage. Pour l'autorité française, ces durées de conservation ne sont pas non plus justifiées au regard des finalités poursuivies.
La Cnil exige que ces mises en demeure soient rendues publiques compte tenu de "la nature des manquements et du nombre de personnes concernées et des caractéristiques des traitements en cause". EDF et Engie ont désormais trois mois pour se conformer aux prescriptions du RGDP sous peine d'être sanctionné par une amende.
SUR LE MÊME SUJET
Compteurs Linky : EDF et Engie ont modifié leurs pratiques après une plainte de la Cnil
Tous les champs sont obligatoires
0Commentaire
Réagir
