VIE PRIVÉE. Les énergéticiens EDF et Engie ont été mis en demeure le 31 décembre 2019 par la Commission nationale de l'informatique et des libertés (Cnil) pour non-respect de certaines exigences quant au consentement de la collecte et à la conservation des données de consommation des compteurs communicants Linky. Les deux entreprises disposent d'un délai de trois mois pour se mettre en conformité.

Nouveau rebondissement, et non des moindres, dans le dossier Linky. Ce 10 février 2020, une décision de la Commission nationale de l'informatique et des libertés (Cnil) est parue au Journal Officiel au sujet de ces compteurs communicants controversés : le 31 décembre dernier, l'autorité administrative a mis en demeure les énergéticiens EDF et Engie pour non-respect de certaines exigences relatives au consentement de la collecte des données de consommation ainsi qu'à la conservation de ces dernières. La décision comporte en premier lieu un rappel des règles applicables en la matière, soulignant que les fournisseurs d'énergie peuvent disposer de ces données à l'échelle mensuelle afin d'établir la facturation des abonnés, et qu'ils peuvent aussi les collecter de manière quotidienne voire toutes les heures ou demi-heures. Il leur est également possible de transmettre ces informations à des sociétés tierces, notamment à des fins de prospection commerciale. Mais dans les deux cas, ces démarches des fournisseurs nécessitent l'accord de l'abonné.

 

Un consentement "ni spécifique ni suffisamment éclairé"

 

Après avoir effectué des contrôles chez EDF et Engie afin de vérifier leur conformité au Règlement général sur la protection des données (RGPD), la Cnil note que les deux groupes "sont dans une trajectoire globale de mise en conformité", qui s'est traduite par la nomination d'un délégué à la protection des données, la mise en place d'un registre des traitements et de procédures permettant à leurs clients concernés d'exercer leurs droits en la matière. Les énergéticiens ont aussi instauré des politiques de recueil des données personnelles et de durée de conservation de celles-ci. C'est toutefois sur ces modalités que "deux manquements" ont été observés : "la Cnil a constaté que si les sociétés EDF et Engie recueillent effectivement un consentement auprès de leurs utilisateurs, ce consentement n'est ni spécifique ni suffisamment éclairé s'agissant des données de consommation à l'heure ou à la demi-heure".

 

L'autorité rappelle que le RGPD impose aux entreprise d'obtenir "un consentement spécifique" à chaque aspect de la collecte ; "or il a été constaté que EDF et Engie recueillent par le biais d'une seule et unique case à cocher le consentement pour deux opérations clairement distinctes : l'affichage dans l'espace client des consommations quotidiennes et l'affichage des consommations à la demi-heure". Concernant l'électricien national, la Cnil a par ailleurs relevé que "le fait de cocher la case entraîne également une troisième opération de traitement, à savoir la fourniture de conseils personnalisés visant à réduire la consommation d'énergie du foyer". Une pratique qui serait "contraire aux exigences du RGPD" sur le respect de la vie privée des abonnés, les données personnelles à l'heure ou à la demi-heure étant bien plus précises sur les habitudes de vie des particuliers que les données journalières.

 

La décision de la Cnil porte également sur la notion de consentement "éclairé", autrement dit obtenu grâce à un nombre suffisant d'informations y afférant. Sur ce point, l'autorité s'est aperçue, chez EDF, "que la rédaction de la mention accompagnant la case à cocher 'j'accepte' est particulièrement susceptible d'induire l'abonné en erreur sur la portée de son engagement", précisant que "la société fait référence à la 'consommation d'électricité quotidienne (toutes les 30 min)' et présente donc les données quotidiennes et à la demi-heure comme étant équivalentes, alors que ces dernières sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes". Le même reproche est formulé à l'encontre d'Engie, où "aucune information suffisamment précise n'était donnée, avant de recueillir le consentement, pour permettre à l'utilisateur de comprendre la différence de portée entre la collecte de 'l'index quotidien' [...] et la collecte de la 'courbe de charge' (...)".

 

Aucune raison valable pour certaines durées de conservation

 

L'autre grief porte donc sur la durée de conservation des données de consommation, jugées dans certains cas trop longues au vu des finalités pour lesquelles elles sont traitées. "S'agissant d'EDF, la société conserve en base active (base contenant les données d'utilisation courante, par exemple pour l'exécution du contrat) les consommations quotidiennes et à la demi-heure cinq ans après la résiliation du contrat", note la Cnil. L'autorité qui estime à ce sujet que les données à la demi-heure n'étant pas nécessaires pour établir la facturation, rien ne justifie qu'elles soient conservées pendant cinq ans après la fin du contrat. De plus, le Code de la consommation stipule que les fournisseurs d'électricité doivent mettre à disposition de leurs abonnés leur historique de consommation durant trois années seulement suivant la date d'obtention du consentement.

 

"S"agissant d'Engie, les contrôles ont révélé que la société conserve les données de consommation mensuelles de ses clients à l'issue de la résiliation de leur contrat pendant une durée de trois ans en base active, puis pendant une durée de huit ans en archivage intermédiaire (base contenant les données ayant encore un intérêt administratif, par exemple en cas de contentieux)", poursuit l'autorité. Là encore, aucune raison valable ne peut légitimer cette démarche, dans la mesure où si les coordonnées des clients peuvent être sauvegardées "en base active" pendant trois ans suite à la résiliation du contrat pour permettre à la société de faire de la prospection commerciale, les données de consommation, pour leur part, n'ont rien à voir avec cet objectif. Et du côté de l'usager, la conservation de ses données de consommation mensuelles dans son espace client ne doit être effective que pendant un an après la résiliation.

 

Une décision qui peut impacter 35 millions de Linky

 

Sur la base de ce niveau "insuffisant" de conformité, "la présidente de la Cnil [Marie-Laure Denis, ndlr] a donc estimé que la conservation de ces différentes données par les sociétés était excessive, en violation de l'article 5, paragraphe 1, e), du RGPD", indique l'autorité. Dans les deux décisions officielles de mises en demeure, EDF et Engie disposent donc chacune d'un délai de trois mois à compter du 31 décembre 2019 pour se mettre en conformité. La Cnil a pris la décision "de rendre publiques ces mises en demeure compte tenu de la nature des manquements, du nombre de personnes concernées et des caractéristiques des traitements en cause". Mais pour l'autorité publique, "la publicité de la mise en demeure apparaît également nécessaire afin de sensibiliser les clients quant aux droits dont ils disposent", ajoutant "qu'il est essentiel que les clients puissent garder la maîtrise des données de consommation fines, qui peuvent révéler des informations sur leur vie privée (heures de lever et de coucher, périodes d'absence, éventuellement le nombre de personnes présentes dans le logement)". Et d'insister sur le fait que "la quantité de clients concernés est particulièrement élevée puisque 35 millions de compteurs communicants Linky doivent être installés d'ici 2021". De quoi alimenter encore les débats houleux autour du déploiement de cette technologie.

 

Dans le cas où les deux énergéticiens corrigeraient leurs manquements dans ce délai de trois mois, la Cnil se contentera de clôturer publiquement la procédure. Dans le cas contraire, la présidente de l'autorité se réserve la possibilité de saisir "la formation restreinte" de son organisme, "chargée de sanctionner les manquements au RGPD", laquelle pourra prononcer une éventuelle sanction. D'après l'article 20 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, et modifié par l'ordonnance du 12 décembre 2018, ce type d'injonction de mise en conformité peut être accompagnée "d'une astreinte dont le montant ne peut excéder 100.000 € par jour de retard à compter de la date fixée par la formation restreinte". Une amende administrative peut aussi être prononcée, dont le montant maximal correspond à 2% du total du chiffre d'affaires mondial de l'exercice précédent. Dans certaines hypothèses, ce plafond peut même être repoussé à 4% du chiffre d'affaires.

actionclactionfp