Après les inquiétudes et les refus d’installation des compteurs Linky, c’est au tour des données émises par les compteurs connectés d’être au centre de l’actualité. La CNIL vient en effet de mettre en demeure, Engie et EDF, pour non-respect de certaines conditions du consentement concernant les données des compteurs communicants. Dans sa décision, le régulateur rappelle en préambule les différents types de données qu’un compteur Linky peut fournir. Le compteur est capable de donner des informations plus ou moins précises, à la journée, par heure ou par demi-heure. Avec cette granularité, il est possible d’obtenir des données sur la vie privée de l’abonné (heures de lever et de coucher, périodes d’absence, éventuellement le nombre de personnes présentes dans le logement).
Sur ce type de données, des règles ont été mises en place selon la précision de l’information (journalière ou une consommation fine à l’heure ou à le demi-heure) et selon le rôle du responsable du traitement dans la chaîne énergétique (gestionnaire du réseau de distribution ou fournisseur). En ce qui concerne les fournisseurs comme EDF et Engie, les règles sont simples : « Ils peuvent disposer des données de consommation mensuelle pour établir leur facturation. En revanche, ils ne peuvent collecter les consommations quotidiennes et horaires et/ou à la demi-heure qu’avec l’accord de l’abonné ». A noter que ce consentement doit être conforme au RGPD.
Des faiblesses dans le consentement, une conservation des données trop longue
Et c’est à ce titre que les équipes de la Cnil ont réalisé un contrôle auprès d’Engie et d’EDF. Le régulateur a constaté deux manquements. Le premier est la faiblesse du consentement des abonnés sur les données de consommation à l’heure et à le demi-heure. Les sages de la place Fontenoy ont estimé que ce consentement n’était pas assez spécifique et éclairé. En clair, l’abonné n’est pas assez informé de ses droits et ne peut pas distinguer les objectifs poursuivi par la collecte des données (affichage dans l’espace client de la consommation quotidienne, conseils personnalisés sur la consommation énergétique). Le second manquement porte sur la durée de conservation des données de consommation, jugée trop longue.
Par exemple, EDF conserve les informations de consommation quotidienne et à la demi-heure pendant 5 ans après la résiliation du contrat. La Cnil estime que les données à la demi-heure ne sont pas nécessaires à la facturation et ne doivent pas être gardées pendant 5 ans. Pour Engie, les données mensuelles sont archivées pendant 3 ans en base active, puis pendant une durée de huit ans en archivage intermédiaire (base contenant les données ayant encore un intérêt administratif, par exemple en cas de contentieux). Là encore, la durée de rétention est jugée trop longue par la Commission.
Les deux entreprises ont trois mois pour rectifier le tir et se conformer aux exigences du RGPD, sinon la Cnil pourrait prendre des sanctions.
Commentaire