La CNIL cible les compteurs communicants Linky et met en demeure les sociétés EDF et ENGIE

Les mises en demeure de la CNIL concernant les compteurs communicants Linky constituent un opportun rappel aux règles entourant le consentement comme base légale d’un traitement de données à caractère personnel mais également un rappel à la nécessité de déterminer des durées de conservation des données proportionnées aux finalités poursuivies.

Par deux délibérations en date du 31 décembre 2019 et rendues publiques le 11 février 2020, la Commission Nationale de l’Informatique et des Libertés (CNIL) met en demeure les sociétés ENGIE et ELECTRICITE DE FRANCE (EDF) pour deux manquements constatés au règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 (RGPD) et relatifs aux compteurs communicants LINKY.

Ces compteurs électriques permettent le relevé à distance d’informations de consommation d’électricité plus précises que les compteurs électriques traditionnels, telles que les données de consommation quotidiennes et à l’heure ou à la demi-heure.

Ayant vocation à permettre aux consommateurs d’acquérir une meilleure maîtrise de leur consommation d’électricité, ces compteurs sont déployés depuis 2015 et la société ENEDIS prévoit d’ici 2021 de procéder à l’installation de 35 millions de compteurs communicants.

Alors qu’une action collective visant à réclamer le droit de refuser leur installation a été déposée le 24 février 2020 et qu’une pétition en ce sens regroupe plus de 13.000 signataires, la CNIL met en exergue et rend publiques les défaillances des sociétés ENGIE et EDF.

Aux termes de ces délibérations, l’autorité de contrôle relève en effet des manquements à l’obligation de disposer d’une base légale pour les traitements mis en œuvre et à l’obligation de définir une durée de conservation proportionnée à la finalité des traitements.

La CNIL pointe en effet les nombreuses défaillances entourant le recueil du consentement des consommateurs des compteurs. Il est en effet relevé que l’usager, pour consentir au suivi de sa consommation détaillée d’électricité, se voit proposer une seule case à cocher pour deux (ENGIE) à trois (EDF) opérations de traitement distinctes.

Or, l’autorité de contrôle souligne que « selon la granularité de la donnée (données journalières ou données de consommation fines à l’heure ou à la demi-heure) et le rôle du responsable de traitement dans la chaîne énergétique (gestionnaire de réseau de distribution ou fournisseur), la collecte des données de consommation peut nécessiter de recueillir le consentement du client ».

Il est opportun de souligner que parmi les six bases légales citées par l’article 6 du RGPD, le consentement, première énumérée, apparait comme un fondement naturel mais délicat en ce qu’il s’associe à la fois à de nombreuses conditions de validité mais également à un droit de retrait de la personne concernée.

En premier lieu, rappelons que le consentement, lorsque celui-ci fonde légalement un traitement de données à caractère personnel, doit être libre, spécifique, éclairé et univoque. La CNIL reproche ici aux deux sociétés de recueillir un consentement non spécifique et non suffisamment éclairé s’agissant des données de consommation à l’heure ou à la demi-heure notamment.

D’une part, un consentement spécifique est caractérisé lorsque la personne concernée est en mesure de donner son consentement de façon indépendante pour chaque finalité poursuivie.

D’autre part, un consentement éclairé est caractérisé lorsque la personne concernée est informée de la portée du traitement et notamment des finalités poursuivies ou encore des catégories de données collectées et utilisées. En effet, le recueil du consentement des personnes concernées doit aller de pair avec leur information sur l’étendue du traitement opéré, car ladite information conditionne le caractère libre et éclairé du consentement.

En l’absence de tels éléments, la personne concernée risque immanquablement d’être trompée sur la portée de son engagement.

Enfin, rappelons que le responsable de traitement doit mettre en œuvre des mesures permettant le retrait du consentement par la personne concernée dans les mêmes conditions que son octroi.

La Commission pointe également les défaillances des sociétés dans la détermination de durées de conservations proportionnées aux finalités poursuivies. En l’espèce, les deux sociétés se voient reprocher la fixation de durées de conservation excessives et non nécessaires aux finalités poursuivies.

En effet, conformément à l’article 5 du RGPD, les données à caractère personnel doivent être conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Les durées de conservation des données sont sujettes à de nombreuses interrogations des responsables de traitement à qui revient l’obligation de les déterminer lorsqu’elles ne sont pas fixées dans un texte légal.

C’est dans ce contexte que les délibérations de la CNIL constituent un juste et utile indice à la détermination de ces durées de conservation.

Aux termes de la mise en demeure de la société EDF, la CNIL précise que la conservation des données de consommations quotidiennes et à la demi-heure en base active pendant la durée de vie du contrat puis pendant cinq ans sans archivage intermédiaire était excessive.

De la même façon, la conservation par ENGIE des données des coordonnées du client et des données nécessaires à l’exécution du contrat pendant trois ans en base active puis pendant huit ans en archivage intermédiaire présente un sort similaire.

Les sociétés EDF et ENGIE disposent d’un délai de trois mois pour mettre en œuvre des mesures rectificatives aux manquements constatés et en justifier auprès de la CNIL.

A rapprocher : Décision n°MED 2019-035 du 31 décembre 2019 mettant en demeure la société ÉLECTRICITÉ DE FRANCE (EDF) ; Décision n°MED 2019-036 du 31 décembre 2019 mettant en demeure la société ENGIE ; EDF et ENGIE : mises en demeure pour non-respect de certaines conditions de recueil du consentement concernant les données des compteurs communicants, CNIL, 11 février 2020