La CNIL a mis en demeure les sociétés EDF et ENGIE (Gaz) concernant l’usage des données collectés via leur compteurs communicants (Linky). Elle a décidé de publier la mise en demeure notamment du fait que 35 millions de compteurs communicants LINKY doivent être installés d’ici 2021. Ainsi, la quasi totalité de la population est concernée.
Il ressort des contrôles effectués par la CNIL, qu’EDF et ENGIE que le niveau de conformité des modalités de recueil du consentement des personnes préalablement à la collecte de leurs données de consommation et des politiques de durée de conservation était insuffisant.
Des modalités de recueil du consentement insatisfaisantes
La CNIL a constaté que le consentement recueillis par les sociétés EDF et ENGIE auprès de leurs utilisateurs n’est ni spécifique ni suffisamment éclairé s’agissant des données de consommation à l’heure ou à la demi-heure.
En effet, la CNIL a constaté que EDF et ENGIE recueillent le consentement des usagers par le biais d’une seule case à cocher pour trois opérations distinctes de traitement : l’affichage dans l’espace client des consommations quotidiennes et l’affichage des consommations à la demi-heure et la fourniture de conseils personnalisés afin de réduire la consommation d’énergie.
Or Le RGPD impose de recueillir un consentement distinct pour chaque objectif poursuivi par la collecte des données.
Par ailleurs, la CNIL a également constaté les mentions d’information fournies par EDF et ENGIE n’étaient pas suffisamment claire dans la mesure où:
– EDF fait référence à la « consommation d’électricité quotidienne (toutes les 30 min) » et ne distingue donc pas les deux types d’opérations (collecte quoitidienne ou à la demi heure).
– ENGIE ne donne pas suffisement d’explications afin de pouvoir distinguer la collecte de « l’index quotidien » (données de consommation journalière) et la collecte de la « courbe de charge » (données de consommation fines à l’heure ou la demi-heure).
Une durée de conservation excessive
S’agissant d’EDF, la société conserve en base active les données de consommations quotidiennes et à la demi-heure cinq ans à compter de la résiliation du contrat avec l’usager. Aucune procédure d’archivage n’est prévue.
La CNIL considère cette durée de conservation de ce type de données est excessive pour les raisons suivantes:
– les données de consommation à la demi-heure ne sont pas nécessaires pour établir la facturation.
– Le code de la consommation prévoit, par ailleurs, que la mise à disposition de l’historique de consommation n’est que de trois ans à compter de la date du recueil du consentement (article D. 224-26 du code de la consommation).
Ainsi, dans les deux cas, la durée de conservation de 5 ans à compter de la résiliation du contrat n’est pas justifiée.
On peut estimer que la position de la CNIL est très stricte dans la mesure où il est difficile de prévoir les cas de contentieux à l’avance et dès lors que ces données ont été accessible à l’usager, ce dernier pourrait très bien les utiliser dans le cadre d’un contentieux ultérieur. Un archivage intermédiaire semblerait plus adapté, même si ces données ne sont pas utilisés pour générer la facturation.
S’agissant d’ENGIE, la société conserve les données de consommation mensuelles de ses clients 3 ans à compter de la résiliation du contrat en base active, puis huit ans en archivage intermédiaire (base contenant les données à des fins administratives; ex: contentieux).
Or, la CNIL considère que la conservation des données de consommation mensuelle en base active pendant cette durée n’est pas justifiée pour les raisons suivantes:
ces données ne sont pas nécessaire au besoin de prospection commerciale et leur conservation pour une telle durée (de 3 ans) n’est pas non plus justifié par la mise à disposition des données dans l’espace client dans la mesure où cette mise à disposition ne dure qu’une année à compter de la résiliation du contrat.
Cette position peut sembler encore une fois assez stricte dans la mesure où il est utile de connaître le profil de consommation du client pour adapter la prospection commerciale. Peut être qu’une utilisation de données de consommation moyenne annuelle ou de la dernière année sera-t-elle autorisée.