Après contrôles, la Cnil a détecté des manquements dans la manière dont EDF et Engie recueillent et conservent les données de consommation de leurs clients, issues des compteurs Linky. Les deux fournisseurs ont maintenant trois mois pour se mettre en conformité.

Voilà qui devrait donner du grain à moudre aux détracteurs du compteur Linky. Dans un communiqué publié ce mardi sur son site web, la Commission nationale de l’informatique et des libertés (Cnil), chargée notamment de veiller au respect de la confidentialité des données personnelles des Français, met en demeure EDF et Engie, après des contrôles effectués au sein des 2 sociétés, de rectifier certaines de leurs pratiques pour les mettre en conformité avec le règlement général sur la protection des données (RGPD). En clair, d’être plus rigoureux dans la collecte et la conservation des données de consommation issues des compteurs communicants Linky.

Rappel : Linky permet de recueillir, dans les foyers équipés, des données de consommation fines, à l’heure, voire à la demi-heure. Des données qui « peuvent révéler des informations sur la vie privée (heures de lever et de coucher, périodes d’absence, éventuellement le nombre de personnes présentes dans le logement) », explique la Cnil, et doivent donc être traitées comme des données personnelles. Dans le cadre des services fournis à leurs clients, EDF et Engie sont autorisés à recueillir et utiliser ces données de consommation fines. Mais ils doivent pour cela recueillir un « consentement libre, spécifique, éclaire et univoque » du consommateur. Ce qui n’est pas le cas actuellement.

Un consentement ni spécifique, ni éclairé

Premier manquement : les deux fournisseurs « recueillent par le biais d’une seule et unique case à cocher le consentement pour deux opérations clairement distinctes : l’affichage dans l’espace client des consommations quotidiennes et l’affichage des consommations à la demi-heure ». Le consentement n’est donc pas spécifique.

Dans le cas d’EDF, il n’est pas non plus éclairé. « (…) La rédaction de la mention accompagnant la case à cocher « j’accepte » est particulièrement susceptible d’induire l’abonné en erreur sur la portée de son engagement », déplore la Cnil. « En effet, la société fait référence à la « consommation d’électricité quotidienne (toutes les 30 min) » et présente donc les données quotidiennes et à la demi-heure comme étant équivalentes, alors que ces dernières sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes. »

Des durées de conservation trop longues

Second manquement au RGPD : les durées de conservation des données de consommation pratiquées par EDF et Engie « sont parfois trop longues au regard des finalités pour lesquelles les données sont traitées ».

EDF, notamment, conserve en base active les données quotidiennes et à la demi-heure pendant 5 ans après la résiliation du contrat. « Les données de consommation à la demi-heure ne sont pas nécessaires pour établir la facturation et n’ont dès lors pas à être conservées cinq ans après la résiliation du contrat », note la Cnil. « Ensuite, les fournisseurs d’électricité ne sont tenus de mettre à disposition des clients leur historique de consommation que pendant une durée de trois années suivant la date de recueil du consentement (…) ».

Trois mois pour se mettre en conformité

La Cnil a choisi de rendre publiques ces mises en demeure en raison de la nature des manquements, mais aussi de « la quantité de clients concernés, (…) particulièrement élevée puisque 35 millions de compteurs communicants Linky doivent être installés d’ici 2021 ».

Elle donne trois mois à EDF et Engie pour se mettre en conformité avec le RGPD. Dans le cas contraire, elle « pourra saisir la formation restreinte de la CNIL, chargée de sanctionner les manquements au RGPD, afin que, le cas échéant, soit prononcée une sanction ».