Le 31 décembre 2019, la présidente de la Commission nationale de l’informatique et des libertés (CNIL) a mis en demeure les sociétés EDF et Engie en raison du non-respect de certaines des exigences relatives au recueil du consentement à la collecte des données de consommation issues des compteurs communicants Linky, ainsi que pour une durée de conservation excessive des données de consommation.
Par Elise Dufour, associée, Bignon Lebray
La CNIL a rendu ces délibérations publiques afin de sensibiliser les clients quant à leurs droits et pour qu’ils puissent garder la maîtrise des données de consommation fines, pouvant révéler des informations sur leur vie privée (heures de lever et de coucher, périodes d’absence, éventuellement le nombre de personnes présentes dans le logement). La quantité particulièrement élevée de clients concernés (35 millions de compteurs communicants Linky doivent être installés d’ici 2021) a également joué en faveur de la publicité des délibérations.
Ce n’est pas la première fois que les compteurs Linky se trouvent ainsi pointés du doigt par la CNIL.
Ces différentes délibérations de la CNIL montrent que cette dernière est particulièrement vigilante sur les conditions de mise en œuvre des traitements liés aux compteurs communicants et incitent les acteurs du secteur de l’énergie à se mettre en conformité avec la règlementation relative aux données personnelles.
La nécessité du recueil du consentement
La mise en place de compteurs communicants initialement prévue par la directive européenne 2009/72/CE du 13 juillet 2009 transposée en droit français par la loi “Grenelle de l’Environnement” du 3 août 2009 et le décret du 31 août 2010 est codifiée aux articles L 341-4 et R341-4 du Code de l’énergie.
Afin d’accompagner les professionnels du secteur de l’énergie et de fixer les fonctionnalités des compteurs « intelligents », la CNIL a publié une recommandation le 4 janvier 2012 ainsi qu’un pack de conformité en mai 2014.
Ainsi, les règles applicables à la collecte des données de consommation fines diffèrent selon la précision de la donnée (données journalières ou données de consommation fines à l’heure ou à la demi-heure) et le rôle du responsable de traitement dans la chaîne énergétique (gestionnaire du réseau de distribution ou fournisseur). La CNIL recommande de baser la collecte et le traitement de certaines données sur le consentement recueilli lors de la souscription du contrat par la personne concernée.
Le gestionnaire du réseau de distribution, par exemple Enedis, est autorisé à collecter par défaut les consommations journalières, pour permettre à l’usager de consulter gratuitement l’historique de ses consommations. En revanche, la collecte des données de consommation fines (horaire et/ou à la demi-heure) n’est pas automatique. La collecte de ces données n’est possible qu’après avoir recueilli le consentement préalable de l’usager, sauf de manière ponctuelle, lorsqu’elle est nécessaire à l’accomplissement des missions de service public assignées par le code de l’énergie.
S’agissant des fournisseurs - tels qu’EDF ou Engie -, ils peuvent disposer des données de consommation mensuelle pour établir leur facturation mais ne peuvent collecter les consommations quotidiennes et horaires et/ou à la demi-heure qu’avec l’accord de l’abonné. La transmission de ces données à des sociétés tierces, notamment à des fins commerciales nécessite également l’accord préalable de l’abonné.
Le consentement déjà au cœur des préoccupations de la CNIL en 2018
En 2018, la CNIL a mis en demeure le gestionnaire de réseau de distribution électrique Direct Energie pour manquement à l’obligation de recueillir le consentement des personnes pour les traitements concernant les données relatives aux consommations à la demi-heure et aux consommations quotidiennes.
A l’occasion de l’installation du compteur communicant Linky, Direct Energie avait demandé au gestionnaire du réseau de distribution, la société Enedis, de lui transmettre les données de ses clients correspondant à leur consommation journalière d’électricité et les données de consommation à la demi-heure. Ces données ne peuvent cependant être recueillies qu’après avoir obtenu le consentement des personnes concernées.
Néanmoins, concernant les données de consommation à la demi-heure, les clients recevaient des communications relatives à plusieurs finalités. Ainsi, les clients pensaient à tort consentir simultanément au changement de compteur électrique et à la collecte des données relatives à la consommation.
Il était également reproché à Direct Energie, de ne pas demander l’accord préalable de ces clients quant à la collecte des données de consommation quotidienne, malgré la divulgation d’une information sur la collecte de ces données auprès du gestionnaire du réseau de distribution.
Collecte illégale de données
En 2019, les sociétés Engie et EDF sont à leur tour mises en demeure par la CNIL dans le cadre de la collecte de données via les compteurs Linky.
La CNIL a constaté que les deux sociétés recueillent par le bais d’une seule et unique case à cocher le consentement pour plusieurs opérations clairement distinctes : l’affichage dans l’espace client des consommations quotidiennes et l’affichage des consommations à la demi-heure. S’agissant d’EDF, le fait de cocher la case entraîne également une troisième opération de traitement, à savoir la fourniture de conseils personnalisés visant à réduire la consommation d’énergie du foyer.
Ainsi, le consentement pour le traitement des données quotidiennes emporte automatiquement le consentement des usagers pour d’autres traitements alors qu’ils sont distincts. Or, l’usager doit pouvoir donner son consentement pour chacun des traitements.
La CNIL estime également que les deux entreprises ne permettent pas à leurs clients de donner leur consentement de manière éclairée ; EDF présentant les données quotidiennes et à la demi-heure comme étant équivalentes, Engie ne donnant aucune information suffisamment précise pour comprendre la différence de portée entre la collecte des deux types de données.
Le consentement n’est ni spécifique ni suffisamment éclairé de sorte que les modalités de consentement ne sont pas conformes aux dispositions RGPD (article 4§11 et 6).
Les sociétés Engie et EDF se voient donc reprocher le non-respect d’exigences liées au recueil du consentement alors même que la CNIL ne cesse d’attirer l’attention sur ce point (notamment dans son pack de conformité de 2014 et dans la mise en demeure concernant Direct Energie de 2018).
Concernant le manquement à l’obligation de définir une durée de conservation proportionnée à la finalité du traitement, il a été constaté que les durées mises en place par les deux sociétés sont excessives au regard des finalités pour lesquelles les données sont traitées.
En effet, Engie conserve les coordonnées du client et les données nécessaires à l’exécution du contrat en base active pendant 3 ans suivant la résiliation du contrat puis les archive pendant 8 ans en archivage intermédiaire. Or, les données de consommation mensuelles ne sont pas nécessaires pour effectuer de la prospection commerciale, de sorte que leur conservation ne saurait être justifiée par cette finalité.
Par ailleurs, la conservation de ces données n’est pas non plus justifiée par leur mise à disposition dans l’espace client de l’usager car cela n’est obligatoire que pour une durée d’un an à l’issue de la résiliation du contrat.
La société EDF, quant à elle, conserve les données de consommation quotidiennes et à la demi-heure pendant la durée de vie du contrat puis pendant 5 ans, sans procéder à un archivage intermédiaire ni de purge automatisée. Or les données de consommation à la demi-heure ne sont pas nécessaires pour établir la facturation et n’ont dès lors pas à être conservées cinq ans après la résiliation du contrat.
Les deux entreprises ont trois mois à compter de la notification des décisions pour recueillir valablement le consentement de ses clients pour la collecte des données de consommation quotidiennes et à la demi-heure, y compris de ceux dont les données sont déjà enregistrées, par exemple en mettant en place une case à cocher pour chaque opération de traitement, et, à défaut, supprimer lesdites données collectées, mais aussi définir et mettre en œuvre une politique de durée de conservation des données qui n’excède pas la durée nécessaire aux finalités pour lesquelles ces données sont collectées.
Que retenir pour les acteurs du secteur de l’énergie ?
Les fournisseurs de ce type de compteurs doivent s’assurer de la conformité de leurs dispositifs au RGPD.
Les sociétés EDF et Engie sont dans une trajectoire globale de mise en conformité mais ont tout de même été épinglées par la CNIL. Ainsi, la désignation d’un délégué à la protection des données, la tenue d’un registre des traitements et la mise en place de procédures permettant aux personnes concernées d’exercer leurs droits ne suffisent pas.
Les acteurs concernés doivent mettre en place des politiques de conservation des données afin que les données ne soient pas stockées au-delà des durées nécessaires. De plus, les formulaires de recueil des consentements doivent être rédigés avec soin afin de permettre un accord préalable de la personne concernée pour chaque finalité distincte.
