Compteurs Linky : la CNIL met en demeure Engie et EDF pour des manquements au RGPD (Règlement Européen Général relatif à la Protection des Données).
-« Les données de consommation fines peuvent révéler des informations sur la vie privée (heures de lever et de coucher, périodes d’absence, éventuellement le nombre de personnes présentes dans le logement). Il est donc essentiel que les clients puissent garder la maîtrise de leurs données » relève la CNIL.
La CNIL (Commission nationale de l’informatique et des libertés) a mis en demeure les deux sociétés de se conformer au droit en vigueur par deux délibérations du 30 décembre 2019, rendues publiques le 11 février 2020 principalement pour deux raisons : le nombre d’utilisateurs concernés, 35 millions de compteurs seront installés d’ici 2021, et l’impact des informations communiquées sur la vie privée.
Les deux groupes sont plus précisément mis en demeure « en raison du non-respect de certaines des exigences relatives au recueil du consentement à la collecte des données de consommation issues des compteurs Linky, ainsi que pour une durée de conservation excessive des données de consommation ».
Un consentement des consommateurs pas assez spécifiques :
Une des particularités des compteurs communicants est de permettre aux fournisseurs d’énergie de collecter des données de consommation quotidiennes et fines, en l’espèce à la demi-heure, à la condition, rappelle la CNIL, d’avoir obtenu l’accord préalable de l’abonné.
Le RGPD impose de recueillir un “consentement spécifique”, c’est-à-dire un consentement distinct pour chaque objectif poursuivi par la collecte des données. Autrement-dit, le caractère spécifique implique que « la personne concernée doit être en mesure de donner son consentement de façon indépendante et distincte pour chaque finalité poursuivie ».
« Or il a été constaté qu’EDF et ENGIE recueillent par le bais d’une seule et unique case à cocher le consentement pour deux opérations clairement distinctes : l’affichage dans l’espace client des consommations quotidiennes et l’affichage des consommations à la demi-heure », ces dernières étant beaucoup plus intrusives pour la vie privée.
La CNIL estime également que le consentement du client n’est pas éclairé. Dans sa délibération MED 2019-35 relative à EDF, elle critique la rédaction de la mention accompagnant la case à cocher qui fait référence à « la consommation d’électricité quotidienne (toutes les 30 minutes) ». Cette formulation risque d’induire l’abonné en erreur sur la portée de son engagement. Les deux informations « sont présentées comme étant équivalentes, alors que les données à la demi-heure sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes ».
Des durées de conservation des données excessives :
Selon l’article 5.1, e, du RGPD, les données à caractère personnel doivent être conservées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Or les « durées de conservation [des données de consommation] sont parfois trop longues au regard des finalités pour lesquelles les données sont traitées », estime la Cnil.
La mise en conformité après la mise en demeure :
Les sociétés Engie et EDF ont trois mois pour se mettre en conformité à compter de la notification de la mise en demeure. Dans le cas contraire, elles risquent de se voir infliger une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du CA annuel mondial total de l’exercice précédent.
Mise en demeure de la CNIL à EDF et ENGIE
Commentaires
Rédigez votre commentaire :
Les réactions des internautes
<% comment.content %>
<% subcomment.content %>