La CNIL cible les compteurs communicants Linky et met en demeure les sociétés EDF et ENGIE

Délibération n°2019-035 du 31 décembre 2019 mettant en demeure la société ÉLECTRICITÉ DE FRANCE (EDF) ; Délibération n°2019-036 du 31 décembre 2019 mettant en demeure la société ENGIE

Les mises en demeure de la CNIL concernant les compteurs communicants Linky constituent un opportun rappel aux règles entourant le consentement comme base légale d’un traitement de données à caractère personnel mais également un rappel à la nécessité de déterminer des durées de conservation des données proportionnées aux finalités poursuivies.

Par deux délibérations en date du 31 décembre 2019 et rendues publiques le 11 février 2020, la Commission Nationale de l’Informatique et des Libertés (CNIL) met en demeure les sociétés ENGIE et ELECTRICITE DE FRANCE (EDF) pour deux manquements constatés au règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 (RGPD) et relatifs aux compteurs communicants LINKY.

Ces compteurs électriques permettent le relevé à distance d’informations de consommation d’électricité plus précises que les compteurs électriques traditionnels, telles que les données de consommation quotidiennes et à l’heure ou à la demi-heure.

Ayant vocation à permettre aux consommateurs d’acquérir une meilleure maîtrise de leur consommation d’électricité, ces compteurs sont déployés depuis 2015 et la société ENEDIS prévoit d’ici 2021 de procéder à l’installation de 35 millions de compteurs communicants.

Alors qu’une action collective visant à réclamer le droit de refuser leur installation a été déposée le 24 février 2020 et qu’une pétition en ce sens regroupe plus de 13.000 signataires, la CNIL met en exergue et rend publiques les défaillances des sociétés ENGIE et EDF.

Aux termes de ces délibérations, l’autorité de contrôle relève en effet des manquements à l’obligation de disposer d’une base légale pour les traitements mis en œuvre et à l’obligation de définir une durée de conservation proportionnée à la finalité des traitements.

La CNIL pointe en effet les nombreuses défaillances entourant le recueil du consentement des consommateurs des compteurs. Il est en effet relevé que l’usager, pour consentir au suivi de sa consommation détaillée d’électricité, se voit proposer une seule case à cocher pour deux (ENGIE) à trois (EDF) opérations de traitement distinctes.

Or, l’autorité de contrôle souligne que « selon la granularité de la donnée (données journalières ou données de consommation fines à l’heure ou à la demi-heure) et le rôle du responsable de traitement dans la chaîne énergétique (gestionnaire de réseau de distribution ou fournisseur), la collecte des données de consommation peut nécessiter de recueillir le consentement du client ».

Il est opportun de souligner que parmi les six bases légales citées par l’article 6 du RGPD, le consentement, première énumérée, apparait comme un fondement naturel mais délicat en ce qu’il s’associe à la fois à de nombreuses conditions de validité mais également à un droit de retrait de la personne concernée.

En premier lieu, rappelons que le consentement, lorsque celui-ci fonde légalement un traitement de données à caractère personnel, doit être libre, spécifique, éclairé et univoque. La CNIL reproche ici aux deux sociétés de recueillir un consentement non spécifique et non suffisamment éclairé s’agissant des données de consommation à l’heure ou à la demi-heure notamment.

D’une part, un consentement spécifique est caractérisé lorsque la personne concernée est en mesure de donner son consentement de façon indépendante pour chaque finalité poursuivie.

D’autre part, un consentement éclairé est caractérisé lorsque la personne concernée est informée de la portée du traitement et notamment des finalités poursuivies ou encore des catégories de données collectées et utilisées. En effet, le recueil du consentement des personnes concernées doit aller de pair avec leur information sur l’étendue du traitement opéré, car ladite information conditionne le caractère libre et éclairé du consentement.

En l’absence de tels éléments, la personne concernée risque immanquablement d’être trompée sur la portée de son engagement.

Enfin, rappelons que le responsable de traitement doit mettre en œuvre des mesures permettant le retrait du consentement par la personne concernée dans les mêmes conditions que son octroi.

La Commission pointe également les défaillances des sociétés dans la détermination de durées de conservations proportionnées aux finalités poursuivies. En l’espèce, les deux sociétés se voient reprocher la fixation de durées de conservation excessives et non nécessaires aux finalités poursuivies.

En effet, conformément à l’article 5 du RGPD, les données à caractère personnel doivent être conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Les durées de conservation des données sont sujettes à de nombreuses interrogations des responsables de traitement à qui revient l’obligation de les déterminer lorsqu’elles ne sont pas fixées dans un texte légal.

C’est dans ce contexte que les délibérations de la CNIL constituent un juste et utile indice à la détermination de ces durées de conservation.

Aux termes de la mise en demeure de la société EDF, la CNIL précise que la conservation des données de consommations quotidiennes et à la demi-heure en base active pendant la durée de vie du contrat puis pendant cinq ans sans archivage intermédiaire était excessive.

De la même façon, la conservation par ENGIE des données des coordonnées du client et des données nécessaires à l’exécution du contrat pendant trois ans en base active puis pendant huit ans en archivage intermédiaire présente un sort similaire.

Les sociétés EDF et ENGIE disposent d’un délai de trois mois pour mettre en œuvre des mesures rectificatives aux manquements constatés et en justifier auprès de la CNIL.

A rapprocher : Décision n°MED 2019-035 du 31 décembre 2019 mettant en demeure la société ÉLECTRICITÉ DE FRANCE (EDF) ; Décision n°MED 2019-036 du 31 décembre 2019 mettant en demeure la société ENGIE ; EDF et ENGIE : mises en demeure pour non-respect de certaines conditions de recueil du consentement concernant les données des compteurs communicants, CNIL, 11 février 2020

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…