L’autorité de contrôle épingle les deux sociétés. À l’index, le non-respect des exigences relatives au recueil du consentement préalable à la collecte des données de consommation issues des compteurs Linky, et une durée de conservation excessive. Explications.
Le déploiement des compteurs connectés par Enedis, gestionnaire du réseau de distribution d'électricité, a ouvert de nouvelles opportunités pour les abonnés, mais également de nouveaux risques. À distance, il est possible pour un prestataire de déduire des informations précises sur les habitudes de vie de chaque foyer.
En principe, rappelle la CNIL, les données de consommation sont collectées chaque jour, mais après accord de l’abonné, il est possible d’opter pour un relevé par demi-heure. De même, la transmission de ces informations à des sociétés tierces exige le même feu vert. Évidemment, glaner le consentement de la « personne concernée », à savoir la personne physique dans le champ lexical du RGPD, exige nécessairement que celui-ci bénéficie d’une information suffisamment étayée.
Pour être valable, le consentement doit ainsi être « libre, spécifique, éclairé et univoque ».
Une case à cocher, plusieurs finalités
Problème, EDF a mis en place une case à cocher pour à la fois autoriser la collecte des données à la demi-heure, consulter l’historique de consommations à la journée et adresser des conseils personnalisés. Même astuce chez ENGIE avec une seule case pour autoriser l’affichage des consommations quotidiennes et celui à la demi-heure.
Un seul consentement, plusieurs finalités distinctes. Une présentation qui n’a pas satisfait la CNIL qui rappelle que selon le considérant 43 du RGPD, « le consentement est présumé ne pas avoir été donné librement si le processus / la procédure d’obtention du consentement ne permet pas aux personnes concernées de donner un consentement distinct à différentes opérations de traitement des données à caractère personnel ».
La commission en a donc déduit un manquement sur l’autel du règlement européen.
Des durées de conservation excessive
L’autre souci concerne la durée des traitements. Selon le texte du 25 mai 2018, « les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Ce principe implique le choix d’une durée de conservation proportionnée aux finalités des traitements.
Or, EDF a décidé de conserver durant 5 ans après la résiliation du contrat, sans archivage intermédiaire. Or, « les données de consommation à la demi-heure ne sont pas nécessaires pour établir la facturation et n’ont dès lors pas à être conservées cinq ans après la résiliation du contrat » gronde la CNIL. De même, explique-t-elle en s’appuyant sur l’article D. 224-26 du code de la consommation, « les fournisseurs d’électricité ne sont tenus de mettre à disposition des clients leur historique de consommation que pendant une durée de trois années suivant la date de recueil du consentement ».
Chez ENGIE, la durée de conservation est cette fois de trois ans en base active, suite à quoi elles sont archivées pendant 8 ans. « Si les coordonnées du client peuvent être conservées en base active pendant trois ans à l’issue de la résiliation du contrat pour que la société puisse effectuer de la prospection commerciale, les données de consommation mensuelles ne sont pas nécessaires pour cet objectif, de sorte que leur conservation ne saurait être justifiée par cette finalité » insiste l’autorité.
Trois mois pour respecter le RGPD
Les deux sociétés ont désormais trois mois pour corriger le tir, à savoir d’une part recueillir un consentement libre, spécifique, éclairé et univoque par exemple par l’usage de plusieurs cases à cocher ou à défaut, supprimer les données.
D’autre part, adopter une politique de durée de conservation des données non excessive et au besoin, purger les données non conformes. Elles devront justifier de cette mise à niveau dans les 90 jours.
Sinon ? Un rapporteur pourra demander à la formation restreinte de la CNIL de prononcer l’une des sanctions prévues par l’article 20 de la loi du 6 janvier 1978 modifiée.