Linky : ce que la Cnil reproche à EDF et Engie

La commission nationale informatique et liberté (Cnil) qui veille notamment au respect du Règlement général sur la protection des données (RGPD) vient de rendre public une mise en demeure des sociétés EDF et Engie de se mettre en conformité avec le RGPD sur deux points précis liés aux compteurs communicants Linky. 
Disons-le d’emblée : ce n’est ni le principe des compteurs communicants, ni leur installation ni leur fonctionnement qui sont pointés du doigt par la Cnil : les deux points litigieux concernent la méthode de recueil du consentement des abonnés et la conservation des données. 

« Consentement distinct » 
Premier problème relevé par la Cnil : le compteur Linky peut recueillir, avec l’accord de l’usager, un certain nombre de données d’utilisation, plus ou moins précises. Si, par défaut et conformément à la loi, les compteurs Linky recueille les consommations à la journée, afin de permettre à l’usager de les consulter, une collecte plus fine est possible mais non obligatoire : elle doit faire l’objet d’un consentement de l’usager. Les données peuvent notamment être recueillie à la maille de l’heure, voire de la demi-heure. L’examen de la Cnil a révélé que EDF recueillait bien le consentement des usagers, en leur faisant cocher une case qui autorise le recueil de la consommation électrique quotidienne, de la consommation à la demi-heure, de l’historique des consommations et de la puissance maximale atteinte. 
Le problème relevé par la Cnil est que chacune de ces données devrait faire l’objet d’une case à cocher spécifique. En effet, écrit la Cnil, « le RGPD impose de recueillir un consentement spécifique, c’est-à-dire un consentement distinct pour chaque objectif poursuivi par la collecte des données. »  Le consentement global (une seule case à cocher) est donc « contraire aux exigences du RGPD : un consommateur peut souhaiter consulter l’historique de ses consommations à la journée, sans pour autant vouloir transmettre à son fournisseur des données à la demi-heure, bien plus précises sur sa vie privée ». Par ailleurs, la formulation utilisée par EDF est susceptible d’induire le consommateur en erreur : il lui est en effet proposer d’accepter le recueil des données de sa « consommation quotidienne (toutes les demi-heures) ». Ce qui laisse entendre que les données quotidiennes et à la demi-heure sont équivalentes. Une telle imprécision ne permet pas, juge la Cnil, « un consentement éclairé ». 

Durée excessive
Deuxième problème : la conservation des données. EDF a indiqué à la Cnil qu’elle conservait les consommations des clients « cinq ans après la résiliation du contrat ». Pour ce qui concerne Engie, cette durée atteint même huit ans pour certaines données. « Aucune procédure automatisée de purge des données »  n’a été mise en place, note la Cnil. 
Pour la commission, ces durées de conservation sont manifestement « excessives au regard des finalités pour lesquelles elles sont traitées » : « La conservation des données à la demi-heure n’est pas nécessaire à la facturation (…) qui est mensuelle. »  La durée de cinq ans n’a pas de justification, même en cas de contentieux, dans la mesure où « un fournisseur d’électricité n’a pas le droit de facturer une consommation d’électricité antérieure de plus de 14 mois au dernier relevé ». 
EDF est donc mise en demeure par la Cnil de remédier sous trois mois à ces manquements. Elle va devoir recueillir à nouveau le consentement de ses abonnés, cette fois de façon « libre, spécifique, éclairée et univoque », « en mettant en place une case à cocher pour chaque opération de traitement ». Et redéfinir sa politique de conservation des données conformément au RGPD. Aucune sanction n’est prévue si EDF respecte ces demandes dans le délai imparti.

F.L.

Accéder à la décision de la Cnil.

Suivez Maire info sur twitter : @Maireinfo2