Après contrôles, la Cnil a détecté des manquements dans la manière dont EDF et Engie recueillent et conservent les données de consommation de leurs clients, issues des compteurs Linky. Les deux fournisseurs ont maintenant trois mois pour se mettre en conformité.
Voilà qui devrait donner du grain à moudre aux détracteurs du compteur Linky. Dans un communiqué publié ce mardi sur son site web, la Commission nationale de l’informatique et des libertés (Cnil), chargée notamment de veiller au respect de la confidentialité des données personnelles des Français, met en demeure EDF et Engie, après des contrôles effectués au sein des 2 sociétés, de rectifier certaines de leurs pratiques pour les mettre en conformité avec le règlement général sur la protection des données (RGPD). En clair, d’être plus rigoureux dans la collecte et la conservation des données de consommation issues des compteurs communicants Linky.
Rappel : Linky permet de recueillir, dans les foyers équipés, des données de consommation fines, à l’heure, voire à la demi-heure. Des données qui « peuvent révéler des informations sur la vie privée (heures de lever et de coucher, périodes d’absence, éventuellement le nombre de personnes présentes dans le logement) », explique la Cnil, et doivent donc être traitées comme des données personnelles. Dans le cadre des services fournis à leurs clients, EDF et Engie sont autorisés à recueillir et utiliser ces données de consommation fines. Mais ils doivent pour cela recueillir un « consentement libre, spécifique, éclaire et univoque » du consommateur. Ce qui n’est pas le cas actuellement.
Un consentement ni spécifique, ni éclairé
Premier manquement : les deux fournisseurs « recueillent par le biais d’une seule et unique case à cocher le consentement pour deux opérations clairement distinctes : l’affichage dans l’espace client des consommations quotidiennes et l’affichage des consommations à la demi-heure ». Le consentement n’est donc pas spécifique.
Dans le cas d’EDF, il n’est pas non plus éclairé. « (…) La rédaction de la mention accompagnant la case à cocher « j’accepte » est particulièrement susceptible d’induire l’abonné en erreur sur la portée de son engagement », déplore la Cnil. « En effet, la société fait référence à la « consommation d’électricité quotidienne (toutes les 30 min) » et présente donc les données quotidiennes et à la demi-heure comme étant équivalentes, alors que ces dernières sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes. »
Des durées de conservation trop longues
Second manquement au RGPD : les durées de conservation des données de consommation pratiquées par EDF et Engie « sont parfois trop longues au regard des finalités pour lesquelles les données sont traitées ».
Vincent MIGNOT
Après une maîtrise d’Histoire puis une maîtrise en Sciences de l’information et de la communication, Vincent MIGNOT devient journaliste en... Lire la suite
© MoneyVox / VM / Février 2020