Quelles sont les conditions de collecte ? Quels manquements ont été constatés ?

Deux manquements ont été constatés : 

• Les modalités de recueil du consentement sont insatisfaisantes 

Si EDF et ENGIE recueillent un consentement auprès de leurs utilisateurs, il a été considéré que celui-ci n’était « ni spécifique ni suffisamment éclairé » car elles le recueillent par le bais d’une seule case à cocher pour deux opérations distinctes: l’affichage dans l’espace client (i) des consommations quotidiennes et (ii) des consommations à la demi-heure.

Par ailleurs, pour EDF, la CNIL a constaté que le fait de cocher cette case emporte l'acceptation de recevoir des conseils personnalisés visant à la réduction de la consommation et que celle-ci est accompagnée d’une mention ambiguë présentant les données quotidiennes et à la demi-heure comme équivalentes alors que les données à la demi-heure sont beaucoup plus précises. 

Concernant ENGIE, la CNIL a également constaté un manque d’informations préalables au consentement.

• Une durée de conservation excessive des données 

EDF conserve les données relatives aux consommations quotidiennes et à la demi-heure cinq ans après la résiliation du contrat sans aucune procédure d’archivage et ce, alors même que ces données ne sont pas nécessaires pour établir la facturation et que les fournisseurs d'électricité ne sont tenus de mettre à disposition des consommateurs leur historique de consommations que pendant une durée de trois à compter du recueil du consentement. 

ENGIE, quant à elle, conserve les données de consommation mensuelles après la résiliation du contrat pendant trois ans en base active, puis huit ans en archivage intermédiaire. Cependant, la conservation de ces données n'est justifiée ni par de la prospection commerciale ni par la mise à disposition de celles-ci dans l’espace client de l’usager. 

À quelles obligations sont tenues les fournisseurs d’énergie et le gestionnaire du réseau de distribution concernant la collecte de données ? 

Comme toute personne traitant des données personnelles, les fournisseurs d’énergie doivent respecter le RGPD dans le cadre de la collecte des données. Ils doivent donc notamment recueillir un consentement libre, univoque, éclairé et spécifique, disposer d’un DPO, tenir un registre des traitements de données personnelles avec les incidents potentiels, ne conserver les données que pour une durée nécessaire et respecter les droits des consommateurs. 

Quels types d’informations sont concernées? Quels sont les risques pour les utilisateurs ? 

Les compteurs LINKY permettent de relever à distance deux types de données de consommation :

• les données de consommation quotidienne 
• les données de consommation quotidienne à la demi-heure.

Il s’agit donc des données de consommation globales d’un foyer, sans le détail des consommations par appareil.

Le risque majeur serait la fuite de ces données. Celles-ci étant très révélatrices des habitudes de vie des consommateurs (horaires d’absence, de sommeil, nombre de personnes présentes), cela pourrait présenter un risque si elles tombaient dans les mains de personnes mal intentionnées.

Quelles conséquences pour ENGIE et EDF s’ils ne se conforment pas à la mise en demeure dans le délai imparti ?

EDF et ENGIE ont été mises en demeure, dans un délai de trois mois de :

• recueillir un consentement libre, spécifique, éclairé et univoque préalablement à la collecte des données de consommation quotidiennes et à la demi-heure, de mettre en place une case à cocher pour chaque finalité et, à défaut, de supprimer les données collectées ;
• définir et mettre en œuvre une politique de durée de conservation des données qui n’excède pas la durée nécessaire aux finalités de la collecte et, au besoin, purger les données non conformes à cette politique de durée de conservation. 

À l’issue de ce délai, si elles ne se sont pas mises en conformité, un rapporteur sera désigné et pourra demander le prononcé d'une sanction.

Propos recueillis par Raphaël Lichten