La Commission nationale de l’informatique et des libertés (Cnil) a annoncé, mardi 11 février, avoir mis en demeure EDF et Engie en raison de leur gestion des données personnelles des utilisateurs de compteurs Linky. Le gendarme français de la protection des données leur donne trois mois pour se mettre en conformité.
Un recueil non-conforme et une durée excessive
Dans son communiqué, la Cnil leur reproche de ne pas respecter certaines exigences du RGPD, notamment sur le mode de consentement et la durée de conservation jugée « excessive » des informations de consommation. Pour rappel, la procédure de mise en demeure n’est pas une sanction.
EDF et ENGIE : mises en demeure pour non-respect de certaines conditions de recueil du consentement concernant les données des compteurs communicants ➡️ https://t.co/46OIEsm07L pic.twitter.com/0zIQbL7pJt
— CNIL (@CNIL) February 11, 2020
Selon l’autorité, « si les sociétés EDF et ENGIE recueillent effectivement un consentement auprès de leurs utilisateurs, ce consentement n’est ni spécifique ni suffisamment éclairé s’agissant des données de consommation à l’heure ou à la demi-heure ». Or, d’après le RGPD, un consentement ne vaut que s’il est « libre, spécifique, éclairé et univoque ».
Des durées limitées selon leur fréquence de collecte
Si les deux groupes français « ont globalement défini des durées de conservation, les vérifications de la Cnil ont notamment révélé que ces durées de conservation sont parfois trop longues au regard des finalités pour lesquelles les données sont traitées », peut-on lire dans le bulletin officiel.
S’agissant d’Engie, le gendarme des données personnelles recommande de limiter à un an après la résiliation la conservation des informations mensuelles de consommation au lieu de trois. Et trois ans au lieu de cinq s’agissant d’EDF et des informations quotidiennes.
Une maîtrise essentielle de ces données
Les données collectées par les compteurs Linky sont d’ordre privé. Engie ou EDF pourraient en déduire des heures de lever et de coucher, les périodes d’absence ou encore le nombre de personnes présentes. « Il est donc essentiel que les clients puissent garder la maîtrise de leurs données », insiste le gendarme des données personnelles.
Une trajectoire de mise en conformité
Toutefois, la Cnil pointe que les deux entreprises d’énergie sont dans une « trajectoire globale de mise en conformité ». De son côté, Engie rétorque qu’effectivement le travail est en cours.
« Depuis décembre 2019, Engie a déjà fait évoluer son offre et ne propose plus qu’un service reposant sur les seules données de consommation à la journée et non sur les données de consommation à la demi-heure », explique la société qui va informer la Cnil de « ces nouveaux éléments ». Concernant la durée de conservation des données, la « société s’engage à mettre à jour ses règles au sein d’une politique de conservation des données », détaille Engie, sereine vis-à-vis du délais de trois mois.
Cette mise en demeure vient néanmoins raviver le débat autour des compteurs Linky. Dès le déploiement en 2015 de ces compteurs connectés, les inquiétudes des consommateurs concernant la protection de leurs données étaient vives.
Source : Cnil
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
