Compteurs Linky : EDF et ENGIE mis en demeure par la CNIL

La Commission nationale de l'informatique et des libertés (CNIL) enjoint EDF et ENGIE d’améliorer la procédure de recueil du consentement autorisant la collecte de données personnelles issues des compteurs Linky et de réduire la durée de conservation des données, jugée excessive.

Temps de lecture  3 minutes

EDF et ENGIE mis en demeure par la Cnil. Photo : compteurs Linky.
La CNIL observe que les durées de conservation des données sont trop importantes (cinq ans pour EDF et huit ans pour ENGIE). © pixarno - stock.adobe.com

Dans un communiqué du 11 février 2020, la CNIL a rendu publique deux mises en demeure à l'encontre des sociétés EDF et ENGIE. La Commission a décidé de les rendre publiques "compte tenu de la nature des manquements, du nombre de personnes concernées et des caractéristiques des traitements en cause". Les deux sociétés disposent d’un délai de trois mois pour se mettre en conformité. Passé ce délai, des sanctions pourraient prononcées à leur encontre.

Des modalités de recueil du consentement insuffisantes

Malgré une "trajectoire globale de mise en conformité" avec les dispositions du Règlement général de la protection des données (RGPD), EDF et ENGIE contreviennent à deux dispositions fondamentales. 

Les deux entreprises ne respectent pas la règle du consentement spécifique, qui exige que soit présentée une demande d’autorisation distincte pour chacune des opérations de collecte d’informations personnelles. Le formulaire présenté actuellement à l’usager ne présente qu’une seule case de demande d’autorisation. En cochant cette case, l’abonné s’engage à accepter l’affichage dans l’espace client des consommations quotidiennes ainsi que l’affichage des consommations à la demi-heure. De surcroît, pour EDF, le fait de cocher l’unique case emporte également l’acceptation de recevoir des conseils personnalisés visant à réduire la consommation d’énergie du foyer. 

La seconde transgression aux règles du RGPD concerne l’obtention du consentement éclairé, qui implique qu’une information suffisante soit transmise à l’usager. Or, la CNIL considère qu’EDF et ENGIE ne présentent pas de façon claire la distinction entre la collecte d’informations à la journée et la collecte à demi-heure.

Durée de conservation excessive des données de consommation

En outre, les contrôles de la CNIL ont fait apparaître des durées de conservation des données trop importantes au regard des finalités pour lesquelles les données sont traitées. Dans le cas d’EDF, les données de consommation quotidiennes et à la demi-heure sont conservées cinq ans après la résiliation du contrat. De son côté, ENGIE les conserve huit ans. Pour la CNIL, ces durées ne sont pas justifiées. 

La Commission rappelle que "si les coordonnées du client peuvent être conservées en base active (base contenant les données d’utilisation courante) pendant trois ans à l’issue de la résiliation du contrat à des fins de prospection commerciale, les données de consommation mensuelles ne sont pas nécessaires pour cet objectif". 

Fin 2021, 35 millions de compteurs devraient être en service.