Aller au contenu principal

La CNIL met en demeure EDF et Engie pour les données collectées par les compteurs Linky

Le consentement des utilisateurs n'aurait pas été obtenu dans le parfait respect de la loi

La Commission nationale de l’informatique et des libertés (CNIL) a récemment épinglé deux entreprises majeures en France : EDF et ENGIE. Selon elle, ces deux entreprises ne se conformeraient pas au règlement général sur la protection des données (RGPD). Ce mardi, la CNIL a donc annoncé que EDF et Engie seraient mises en demeure pour leur « non-respect de certaines conditions de recueil du consentement concernant les données des compteurs communicants » Linky. Si EDF et Engie ne se soumettent pas très vite au RGPD, elles feront face à des sanctions. 

LES CAPACITÉS DU COMPTEUR LINKY

La CNIL précise que les données de consommation recueillies par les compteurs « peuvent révéler des informations sur la vie privée » des utilisateurs, ce qui les rend très sensibles. Grâce aux compteurs Linky, il est par exemple possible de connaître les périodes d’absence des utilisateurs, mais également leurs heures de lever et de coucher. « Il est donc essentiel que les clients puissent garder la maîtrise de leurs données. » 

Nous savons que le gestionnaire du réseau de distribution est dans la capacité de collecter des informations sur les consommations journalières, ce qui permet à l’utilisateur de rester au courant de ses dépenses et factures. Cependant, il n’a pas le droit de rassembler des informations à l’heure ou à la demi-heure (on appelle cela des informations fines). Il n’y est autorisé que « lorsqu’elles [les données] sont nécessaires à l’accomplissement des missions de service public ».

EDF et Engie ont en revanche le droit de demander au gestionnaire de réseau de leur transmettre les données de consommation mensuelle, afin de procéder à la facturation de l’électricité. Pareillement au gestionnaire de réseau de distribution, ils ne peuvent en théorie pas collecter d’informations fines sans l’accord de l’utilisateur, et quand bien même elles seraient collectées, elle ne pourraient être livrées à un tiers sans l’accord explicite de ce même usager.

— NeydtStock / Shutterstock.com

LES MANQUEMENTS ÉPINGLÉS PAR LA CNIL

Le problème qu’a observé la CNIL est donc que EDF et ENGIE ne se conforment pas suffisamment au RGPD, comme en témoignent certains faits. En premier lieu, la CNIL a remarqué que le consentement qu’ils réclamaient aux utilisateurs afin de pouvoir collecter leurs données de consommation, que ce soit à la journée ou à l’heure et à la demi-heure, n’est pas assez spécifique, puisque les utilisateurs ne peuvent apparemment cocher qu’une seule case sur le site de ces deux entreprises, alors que la récolte des données de consommation intègre ces deux types de durées différentes. Cela ne correspond pas aux standards de la CNIL, qui exige un consentement explicite à chacun des deux types, autrement dit « un consentement distinct pour chaque objectif ». Ce manque de spécificité pourrait en effet induire l’usager en erreur. Cocher cette case permet à EDF de fournir « des conseils personnalisés visant à réduire la consommation d’énergie du foyer ».

En outre, ce consentement n’est, selon la CNIL, pas assez précis. Il n’est pas normal que l’usager ne puisse pas avoir accès à sa consommation quotidienne, sans avoir à transmettre des données « bien plus précises sur sa vie privée » à son fournisseur, à l’heure ou à la demi-heure. Finalement, le consentement n’est pas assez éclairé non plus, puisque EDF et Engie « présentent les données quotidiennes et à la demi-heure comme étant équivalentes, alors que ces dernières sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes ». 

La CNIL reproche de surcroît à EDF et ENGIE leur durée de conservation des données, qu’elle estime « trop longue au regard des finalités pour lesquelles les données sont traitées ». En effet, EDF garde dans sa base les consommations quotidiennes et à la demi-heure durant cinq ans après la rupture du contrat avec l’utilisateur, alors qu’« aucune procédure d’archivage n’est par ailleurs prévue ». La conservation de ces informations aussi longtemps par une entreprise est loin d’être justifiée puisque la loi impose aux fournisseurs de mettre à la disposition de leurs clients leur historique de consommation pendant une durée maximum de trois ans. Quant à elle, Engie conserve les données de consommation de ses usagers pendant trois ans dans la base, puis pendant huit ans dans ses archives intermédiaires. 

— GERARD BOTTINO / Shutterstock.com

LA RÉPONSE DES ENTREPRISES CONCERNÉES

Le Figaro a contacté les deux entreprises concernées qui ont dit qu’elles prendront en compte la mise en demeure et disent vouloir prendre les mesures nécessaires pour régler ces problèmes. EDF « s’engage à mettre en place les corrections nécessaires », et affirme que la protection des données de ses utilisateurs « est une priorité absolue ». EDF précise qu’il ne transmet ni ne revend les données de consommation de ses clients à des entreprises ou organisations extérieures et que ses utilisateurs restent « propriétaires de leurs données ».

De son côté, Engie déclare qu’elle est « consciente des interrogations des consommateurs » et nous informe que depuis décembre 2019, elle « a déjà fait évoluer son offre et ne propose plus qu’un service reposant sur les seules données de consommation à la journée et non sur les données de consommation à la demi-heure ». Le groupe s’engage aussi à « réduire la durée de conservation des données de consommation mensuelle à 1 an après la résiliation du contrat », conformément aux demandes de la CNIL.

Le compteur Linky n’en est pas à son premier scandale. En effet, de nombreuses associations d’utilisateurs ont déjà critiqué la façon dont il collectait les données. Ils critiquent également les émissions dégagées par ces compteurs, qui peuvent être problématiques pour la vie de personnes électrosensibles. Enedis, qui développe les compteurs Linky, indique avoir « 85 % de satisfaction client au moment de la pose » des compteurs et affirme que les interrogations et préoccupations sur le compteur restent « très limitées ». Ce seraient les médias qui transmettraient l’image selon laquelle le compteur ne serait pas bien reçu par les Français, mais « c’est une image erronée », assure Enedis.

Ce manque de conformité au RGPD justifie selon la CNIL la mise en demeure de ces entreprises : ces dernières n’ont donc pas plus de trois mois pour se conformer au RGPD. Si elles le font, elles ne verront aucune sanction prise contre elles, et les procédures seront closes ; autrement, ces deux entreprises seront sanctionnées. « La nature des manquements, du nombre de personnes concernées et des caractéristiques des traitements en cause » ont encouragé la CNIL à publier leur décision. Rappelons que deux Français sur trois sont équipés du dispositif, selon Enedis. Plus de 22 millions de compteurs sont actuellement installés, et « 35 millions de compteurs communicants Linky » doivent être mis en place d’ici 2021. 

Par Jeanne Gosselin, le

Source: Le Figaro

Étiquettes: , , , , , , , ,

Catégories: ,

Partager cet article

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *