la Cnil met en demeure EDF et Engie


La bataille autour des compteurs Linky se poursuit. Ce mardi, la Commission nationale de l’informatique et des libertés (Cnil) a annoncé la mise en demeure d’EDF et d’Engie pour «non-respect de certaines conditions de recueil du consentement concernant les données des compteurs communicants» Linky. L’institution adresse deux reproches majeurs aux deux groupes, et les invite à se conformer au plus vite au règlement général pour la protection des données, sous peine de sanctions.

Dans le détail, la Cnil rappelle d’abord que les données de consommation recueillies par les compteurs restent sensibles : elles «peuvent révéler des informations sur la vie privée» des utilisateurs, y compris leurs périodes d’absence ou leurs heures de lever et de coucher. «Il est donc essentiel que les clients puissent garder la maîtrise de leurs données». Le gestionnaire du réseau de distribution peut collecter «les consommations journalières», pour permettre à l’usager de garder un œil sur ses dépenses. Il ne peut toutefois collecter les informations fines (la consommation à l’heure ou à la demi-heure) sans autorisation préalable ou, de manière ponctuelle, que «lorsqu’elles sont nécessaires à l’accomplissement des missions de service public».

De leur côté, les fournisseurs, comme EDF et Engie, peuvent demander au gestionnaire de réseau de leur transmettre des données de consommation mensuelles pour facturer l’électricité, mais ne peuvent collecter des informations plus fines, quotidiennes, horaires ou à la demi-heure sans l’accord de l’utilisateur. Également, aucune information collectée ne peut être transmise à un tiers, comme une entreprise, sans l’accord explicite de l’abonné.

» À voir aussi – Compteurs Linky : pourquoi l’UFC-Que Choisir saisit le Conseil d’État (vidéo du 29/01/19)

Le consentement insuffisant des utilisateurs

Après des contrôles au sein de ces deux entreprises, la Cnil constate qu’EDF et Engie se trouvent sur une «trajectoire globale de mise en conformité» avec le Règlement général européen sur la protection des données (RGPD), cependant deux manquements majeurs subsistent. «Le niveau de conformité [est] insuffisant», alerte-t-elle.

D’abord, le consentement réclamé par ces deux groupes aux utilisateurs pour récolter leurs données de consommation par jour, d’une part, et à l’heure ou à la demi-heure, d’autre part, n’est «ni spécifique, ni suffisamment éclairé». Une seule case doit être cochée par les consommateurs sur le site des entreprises pour que ces dernières puissent récolter ces informations portant sur ces deux durées différentes. Or la Cnil exige un consentement spécifique, autrement dit, «un consentement distinct pour chaque objectif». De plus, cocher cette case permet à EDF une troisième opération avec les données : la «fourniture de conseils personnalisés visant à réduire la consommation d’énergie du foyer».

Pour la Cnil, ce consentement n’est pas assez précis : l’usager doit pouvoir connaître sa consommation quotidienne, sans pour autant avoir automatiquement à transmettre des données «bien plus précises sur sa vie privée» à son fournisseur, à l’heure ou à la demi-heure. Le consentement n’est pas non plus assez éclairé : EDF «présente les données quotidiennes et à la demi-heure comme étant équivalentes, alors que ces dernières sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes». Même constat pour Engie, qui n’explique pas suffisamment la distinction entre la collecte de «l’index quotidien», donnant la consommation journalière, et celle de la «courbe de charge», décrivant la consommation à l’heure.

Des données conservées trop longtemps

De surcroît, la Cnil estime que la durée de conservation de ces données par EDF et Engie est «trop longue au regard des finalités pour lesquelles les données sont traitées». EDF garde dans sa base les consommations quotidiennes et à la demi-heure durant cinq ans après la rupture du contrat avec l’utilisateur, et «aucune procédure d’archivage n’est par ailleurs prévue». Et ce, alors que la conservation de ces informations aussi longtemps par l’entreprise n’est pas justifiée : la loi impose aux fournisseurs de mettre à la disposition de leurs clients leur historique de consommation pendant une durée maximum de trois ans seulement.

Engie, de son côté, garde les données de consommation mensuelles de ses utilisateurs pendant trois ans dans sa base, puis pendant huit ans dans ses archives intermédiaires. Là encore, l’institution considère que garder les données de consommation mensuelles si longtemps n’est pas justifié : seules les coordonnées de l’ancien utilisateur peuvent être conservées, pour effectuer de la prospection commerciale, pas sa consommation.

À voir aussi – Pourquoi les Français se méfient du compteur Linky

Les entreprises sommées de se conformer au RGPD

Ces deux manquements justifient donc, pour la Cnil, une mise en demeure des entreprises : ces dernières ont donc désormais trois mois pour se conformer au RGPD. Dans ce cas, aucune sanction ne sera prise, et les procédures seront closes. Dans le cas contraire, la Commission nationale pourra saisir son organe chargé de corriger les manquements au règlement européen, et les entreprises pourront être, in fine, sanctionnées.

L’institution justifie également la publication de sa décision à cause de «la nature des manquements, du nombre de personnes concernées et des caractéristiques des traitements en cause». Deux Français sur trois sont équipés du dispositif, et le déploiement doit s’achever l’an prochain, explique Enedis. Plus de 22 millions de compteurs sont désormais installés. En outre, le nombre de personnes concernées ne fera qu’augmenter dans les années à venir, «35 millions de compteurs communicants Linky» devant être mis en place d’ici 2021. La Cnil espère également que cette publication permettra de sensibiliser les utilisateurs sur leurs droits. «Il est essentiel que les clients puissent garder la maîtrise des données de consommation fines», souligne-t-elle.

Les entreprises «prennent acte» de la décision de la Cnil

Contactées par Le Figaro, les deux entreprises concernées disent prendre acte de la mise en demeure, et comptent prendre les mesures nécessaires pour répondre aux interrogations de l’institution. EDF «s’engage à mettre en place les corrections nécessaires», rappelant que la protection des données des utilisateurs «est une priorité absolue» pour le groupe. Il précise qu’il ne transmet ni ne revend les données de consommation de ses clients à des entreprises ou organisations extérieures : ses utilisateurs restent «propriétaires de leurs données».

Parallèlement, Engie se dit «conscient des interrogations des consommateurs» et considère avoir déjà mis en place des évolutions permettant de répondre aux questions de la Cnil. L’entreprise rappelle que depuis décembre 2019, elle «a déjà fait évoluer son offre et ne propose plus qu’un service reposant sur les seules données de consommation à la journée et non sur les données de consommation à la demi-heure». Le groupe s’engage aussi à «réduire la durée de conservation des données de consommation mensuelle à 1 an après la résiliation du contrat», conformément aux demandes de la Cnil.

Ce n’est pas la première fois que le fameux compteur vert anis est mis en cause : ce dernier suscite l’inquiétude de nombreuses associations d’utilisateurs, qui critiquent la collecte de données personnelles des usagers, ainsi que les émissions pouvant perturber la vie de personnes électrosensibles. À l’échelle locale, plusieurs communes ont tenté de s’opposer au déploiement des dispositifs : ce fut notamment le cas de Cast, dans le Finistère. De son côté, Enedis indique avoir «85% de satisfaction client au moment de la pose» des compteurs. L’entreprise rappelle que les interrogations et préoccupations sur le compteur restent «très limitées» et considère que leur large écho médiatique transmet l’image selon laquelle le compteur ne serait pas bien reçu par les Français : «c’est une image erronée», martèle-t-elle.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*