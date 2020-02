Compteurs Linky trop curieux EDF et Engie rappelés à l’ordre

La Cnil (Commission nationale de l’informatique et des libertés) vient de mettre en demeure EDF et Engie de respecter la réglementation en matière de collecte et de conservation des données des compteurs Linky installés chez leurs clients. Le gendarme de la vie privée leur accorde un délai de 3 mois pour se remettre dans le droit chemin.

Le RGPD (Règlement général sur la protection des données), qui encadre depuis mai 2018 le traitement des données personnelles, est clair sur les règles à respecter en matière de collecte de données. La Cnil (Commission nationale de l’informatique et des libertés) vient de le rappeler à EDF et à Engie, après avoir constaté que les deux entreprises enfreignaient le règlement avec les informations recueillies grâce aux compteurs Linky installés chez leurs clients. « EDF et Engie sont dans une trajectoire globale de mise en conformité […] », souligne la Cnil, qui explique toutefois que « les vérifications effectuées ont révélé que le niveau de conformité était insuffisant ». Ces manquements concernent deux points précis du règlement.

Une seule case à cocher pour deux consentements

Le premier concerne la méthode par laquelle les deux entreprises obtiennent l’accord de leurs clients pour collecter les données. La loi les oblige en effet à obtenir un consentement spécifique pour chaque type de données collectées. Un accord global à la collecte de données ne suffit pas. Or, EDF et Engie recueillent par le biais d’une seule et unique case à cocher le consentement pour deux opérations clairement distinctes : l’affichage dans l’espace client des consommations quotidiennes et l’affichage des consommations à la demi-heure. EDF va même plus loin dans l’infraction, puisque l’information donnée au consommateur crée de la confusion. « En effet, la société fait référence à la "consommation d’électricité quotidienne (toutes les 30 min)" et présente donc les données quotidiennes et à la demi-heure comme étant équivalentes, alors que ces dernières sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes », note le gendarme de la vie privée.

Des données trop longtemps conservées

Le second manquement au RGPD tient à la durée pendant laquelle EDF et Engie conservent les données de consommation. Celle-ci s’avère excessive. EDF stocke les consommations quotidiennes et à la demi-heure pendant 5 ans après la résiliation du contrat, alors qu’elle n’en a logiquement besoin que pendant 3 ans (période pendant laquelle les fournisseurs d’électricité sont tenus de mettre à disposition des clients leur historique de consommation). Quant à Engie, elle stocke indûment les consommations mensuelles après résiliation du contrat dans la mesure où elle déclare en avoir besoin pour de la prospection commerciale. Or les coordonnées des clients suffisent pour les démarcher.

EDF et Engie ont 3 mois pour rectifier le tir, ce qu’elles nous ont confirmé s’engager à faire. Les deux entreprises devront envoyer à la Cnil des documents prouvant qu’elles ont changé leurs méthodes, qu’il s’agisse de captures d’écran, de contrats signés avec des prestataires, de mises à jour de politique de confidentialité, etc. Si la situation n’est pas réglée à l’issue de ce délai, la Cnil n’exclut pas une sanction. « Les données de consommation peuvent révéler des informations sur la vie privée des clients, comme les heures de lever et de coucher, les périodes d’absence, le nombre de personnes présentes dans le logement. EDF et Engie sont de très grosses entreprises, qui traitent des volumes de données massifs. Elles se doivent d’être conformes », explique Mathias Moulin, directeur de la protection des droits et des sanctions de la Cnil. Rappelons que 35 millions de compteurs doivent être installés d’ici 2021.