La mise en place des compteurs d'électricité connectés Linky soulève depuis leur lancement craintes et interrogations. L'enregistrement et le stockage de ces données personnelles ainsi que leur utilisation, notamment leur diffusion à des tiers, posent particulièrement question. Le 11 février 2020, la CNIL a envoyé une mise en demeure à EDF et Engie pour la non-conformité du compteur communicant avec le règlement général sur la protection des données (RGPD).
L'instance reproche deux points aux fournisseurs d'énergies : un manque de clarté dans le recueil du consentement sur les données de consommation journalière ou à la demi-heure et une durée de conservation des données trop longue après la résiliation du contrat. EDF garde ainsi les consommations quotidiennes à la demi-heure cinq ans après la résiliation tandis qu'Engie garde les données de consommations mensuelles huit ans en archivage intermédiaire.
La CNIL juge ces durées « non justifiées ». En outre, ces données fournissent des informations précieuses sur les habitudes des consommateurs (à quelle heure ils sont à leur domicile, combien de personnes s'y trouvent, le type d'appareils utilisés) et sont susceptibles d'être revendues à des acteurs commerciaux. C'est donc la remise en cause du respect de la vie privée qui est en jeu. Pour toutes ces raisons, il lui demande des éclaircissements sur le respect du RGPD dans le cadre du déploiement des compteurs Linky en France.
La CNIL a mis en demeure les sociétés de se conformer au droit en vigueur par deux délibérations du 30 décembre 2019, rendues publiques le 11 février 2020 principalement pour deux raisons : le nombre d’utilisateurs concernés, 35 millions de compteurs seront installés d’ici 2021, et l’impact des informations communiquées sur la vie privée (révélation des heures de lever et de coucher, des périodes d’absences, du nombre de personnes présentes dans le logement). Véritables cas d’école, ces décisions opèrent une mise au point sur les modalités à respecter pour obtenir le consentement préalable des personnes concernées et sur la notion de durée de conservation.
Â
I)            Un manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre
Â
A)  En ce qui concerne les fournisseurs d’énergie tels que la société EDF, ces derniers ne peuvent collecter les consommations quotidiennes et horaires et/ou à la demi-heure qu’avec le consentement de l’abonné.
Â
Pour être valable, le consentement doit être libre, spécifique, éclairé et univoque, en application de l’article 4, paragraphe 11, du RGPD. Lorsqu’un de ces critères fait défaut, le consentement ne peut être retenu comme base légale du traitement au sens de l’article 6, paragraphe 1, a) du RGPD.
S’agissant du caractère spécifique du consentement, il résulte du RGPD que la personne concernée doit être en mesure de donner son consentement de façon indépendante et distincte pour chaque finalité poursuivie. Ainsi, le considérant 43 prévoit que le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce (…) .
De même, les lignes directrices sur le consentement, adoptées par le G29, le 28 novembre 2017, précisent que (…) les personnes concernées devraient être libres de choisir quelles finalités elles acceptent, plutôt que de devoir consentir à un ensemble de finalités de traitement. En vertu du RGPD, plusieurs consentements pourraient être nécessaires avant de pouvoir fournir un service dans un cas donné.
Le considérant 43 précise que le consentement est présumé ne pas avoir été donné librement si le processus / la procédure d’obtention du consentement ne permet pas aux personnes concernées de donner un consentement distinct à différentes opérations de traitement des données à caractère personnel (par ex. uniquement pour certaines opérations de traitement et pas pour d’autres) bien que cela soit approprié dans le cas d’espèce. […] Afin de se conformer aux conditions d’obtention d’un consentement valable lorsque le traitement des données est effectué pour différentes finalités, il convient de détailler le consentement, c’est-à -dire de différencier ses différentes finalités et d’obtenir un consentement pour chacune d’entre elles (p. 11).
Â
B)   S’agissant du caractère éclairé du consentement
Â
Il ressort des lignes directrices du G 29 sur le consentement que pour que le consentement soit éclairé, il est nécessaire d’informer la personne concernée de certains éléments cruciaux pour opérer un choix [tels que] (…) (ii) la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité (iii) les (types de) données collectées et utilisées (p. 15).
En l’espèce, la délégation a été informée et a constaté que la société EDF recueille le consentement des usagers à la collecte de leurs données de consommation quotidienne et à la demi-heure par le biais d’une seule case à cocher, et ce pour trois finalités distinctes, à savoir l’affichage dans l’espace client des consommations quotidiennes, l’affichage dans l’espace client des consommations à la demi-heure et des conseils personnalisés visant à mieux maîtriser leur consommation d’électricité.
Ainsi, le consentement pour le traitement des données quotidiennes emporte automatiquement consentement pour le traitement des données à la demi-heure s’agissant aussi bien de l’affichage des consommations dans l’espace client que de la fourniture de conseils personnalisés. Pourtant, ces opérations de traitement sont distinctes et indépendantes les unes des autres : ainsi, un usager peut souhaiter consulter l’historique de ses consommations à la journée, sans nécessairement vouloir bénéficier d’un affichage à la demi-heure ou souhaiter recevoir des conseils personnalisés de la part de son fournisseur.
À cet égard, la Commission relève que la rédaction de la mention accompagnant la case à cocher j’accepte fait référence à la consommation d’électricité quotidienne (toutes les 30 min) ce qui est particulièrement susceptible d’induire l’abonné en erreur sur la portée de son engagement. En effet, les données quotidiennes et à la demi-heure sont présentées comme étant équivalentes, alors que les données à la demi-heure sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes.
En conséquence, le traitement des données à des fins d’affichage des index journaliers, celui plus complet et détaillé des données à la demi-heure, ainsi que celui visant à offrir des conseils personnalisés poursuivent des finalités distinctes, de sorte que l’usager devrait pouvoir donner un consentement par finalité et activer la collecte des index journaliers, sans nécessairement devoir accepter d’activer de manière corrélée celle de la courbe de charge.
Il résulte de l’ensemble de ces éléments que le consentement des utilisateurs n’est ni spécifique ni suffisamment éclairé, de sorte que les modalités de son recueil ne sont pas conformes aux dispositions de l’article 4, paragraphe 11 du RGPD, ce qui entraîne un manquement aux dispositions de l’article 6, paragraphe 1, a) du RGPD.
Â
II)         Des durées de conservation excessives
Â
A)  Application de l’article 5, paragraphe 1, e) du RGPD
Â
Les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
En l’espèce, la délégation a été informée que la société EDF conserve en base active les consommations quotidiennes et à la demi-heure cinq ans après la résiliation du contrat, sans procéder à un archivage intermédiaire, qu’il soit physique sur un serveur distinct ou logique via une restriction des accès.
La délégation a également été informée qu’aucune procédure automatisée de purge n’est mise en place notamment pour des raisons de complexité technique.
De telles durées de conservation sont excessives au regard des finalités pour lesquelles ces données sont traitées.
En effet, la conservation des données de consommation à la demi-heure n’est pas nécessaire à la facturation de l’électricité consommée, qui est mensuelle.
Il en est de même s’agissant des données de consommation quotidienne, qui ne sont pas non plus nécessaires à la facturation, sauf dans le cadre de l’offre Vert Électrique Week-end, laquelle nécessite de connaître les consommations effectuées le samedi, le dimanche et les jours fériés pour leur appliquer des prix avantageux.
Cependant, même dans le cadre de l’offre Vert Électrique Week-end, une durée de conservation de cinq ans après la résiliation du contrat est excessive dans la mesure où il ressort de l’article L. 224-11 du code de la consommation qu’un fournisseur d’électricité n’a, sauf exception, pas le droit facturer une consommation d'électricité (…) antérieure de plus de quatorze mois au dernier relevé ou autorelevé.
En outre, pour les données quotidiennes, l’historique téléchargeable depuis l’espace client est limité à trois ans, durée augmentée de l’année en cours à partir de la date de recueil du consentement, tandis que les données à la demi-heure ne sont pas téléchargeables. Dans ces conditions, la mise à disposition des données de consommation fines ne saurait justifier leur conservation pendant la durée de vie du contrat puis cinq ans en base active.
Eu égard à ce qui précède, une durée de conservation des données quotidiennes et à la demi-heure en base active pendant la durée de vie du contrat puis pendant cinq ans, pour tous les types de contrats, sans archivage intermédiaire, est excessive au sens de l’article 5, paragraphe 1, e) du RGPD. En conséquence, la société EDF, sise 22-30 avenue de Wagram à Paris (75008), est mise en demeure sous un délai de trois (3) mois à compter de la notification de la présente décision et sous réserve des mesures qu’elle aurait déjà pu adopter, de :
Recueillir un consentement libre, spécifique, éclairé et univoque préalablement à la collecte des données de consommation quotidiennes et à la demi-heure de ses clients, y compris de ceux dont les données sont déjà enregistrées, par exemple, en mettant en place une case à cocher pour chaque opération de traitement et, à défaut, supprimer lesdites données collectées, conformément aux articles 4, paragraphe 11, et 6, paragraphe 1, a) du RGPD ;
Définir et mettre en œuvre une politique de durée de conservation des données qui n’excède pas la durée nécessaire aux finalités pour lesquelles ces données sont collectées et, au besoin, purger les données non conformes à cette politique de durée de conservation, conformément aux dispositions de l’article 5, paragraphe 1, e) du RGPD ; Justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.
Â
B)Â Â Â La mise en demeure
Â
Pour corriger ces manquements, l’autorité enjoint aux sociétés de mettre en place de nouvelles procédures de recueil du consentement, par exemple sous forme d’une case à cocher par opération de traitement.
Les modifications devront s’appliquer aux clients dont les données de consommation ont déjà été enregistrées. À défaut, il conviendra de supprimer ces dernières. La CNIL exige aussi des sociétés qu’elles revoient leurs politiques de durée de conservation et qu’elles purgent, au besoin, les données non conformes aux nouvelles règles.
Les sociétés Engie et EDF ont trois mois pour se mettre en conformité à compter de la notification de la mise en demeure et éviter ainsi le prononcé de l’une des sanctions prévues par l’article 20 de la loi du 6 janvier 1978 modifiée. Nul doute qu’elles le feront, car, dans le cas contraire, elles risquent de se voir infliger une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.
Â
Â
SOURCESÂ :
·      https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000026958542
·      https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1
·      https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article6
·      https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article5
·      https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006069565&idArticle=LEGIARTI000032226713
Â