Le 11 février dernier, la CNIL a mis en demeure la société ENGIE ainsi que la société EDF en raison de l’utilisation des données liées aux compteurs LINKY.
Pour rappel, un compteur LINKY est un compteur intelligent communicant, il permet de transmettre les données relatives à la consommation électrique. Par défaut, la collecte des données de consommation journalière est autorisée. Cependant, concernant la collecte des données de consommation fine, c’est à dire la consommation à l’heure ou à la demie-heure, elle nécessite le consentement de la personne concernée. Ce compteur peut révéler, grâce aux données de consommation fine, des informations relatives à la vie privée telles que l’heure à laquelle le foyer se lève, l’heure à laquelle il se couche ou encore le nombre de personnes présentes dans le foyer mais aussi lorsque les personnes sont absentes. Toutes les données sont envoyées au gestionnaire de réseau, Ednis.
Grâce au compteur LINKY un grand nombre de données est collecté, cependant il semblerait que certaines règles relatives aux données ne soient pas respectées de la part d’ENGIE et EDF, sociétés utilisant les données de ces compteurs.
La CNIL a pu constater deux manquements de la part des sociétés :
- Les modalités de recueil du consentement ne sont pas satisfaisantes concernant les données issues des compteurs intelligent LINKY.
Selon la CNIL, le consentement des personnes n’est pas suffisamment éclairé s’agissant de leur consommation à l’heure et à la demi-heure. Les personnes ne sont donc pas suffisamment informées quant à la différence entre la consommation journalière et la consommation fine qui peut révéler beaucoup plus d’informations personnelles.
De plus la CNIL met en évidence que le consentement n’est pas spécifique. Pour être spécifique le consentement doit être distinct pour chaque objectif poursuivi par la collecte des données, c’est à dire que qu’il faut un consentement pour chaque traitement. Or, en l’espèce, pour un consentement donné il découle trois opérations de traitement différentes. Il s’agit donc d’un consentement global et non pas spécifique.
- La durée de conservation des données de consommation est excessive.
Selon la CNIL, la durée de conservation est trop longue par rapport à l’objectif poursuivi. Par exemple, EDF conserve pendant 5 ans après la résiliation du contrat les données de consommation fine, sans les archiver, alors qu’elles ne sont pas utiles pour la facturation. Quant à ENGIE, elle conserve les données relatives à la consommation mensuelle pendant 3 ans après la résiliation du contrat puis pour une durée de 8 ans dans les archives.
Les deux sociétés ne sont donc pas en conformité avec le RGPD, elles ont été mises en demeure par la CNIL et ont donc 3 mois pour se mettre en conformité.
Aurore BOIBESSOT
M2 Cyberjustice- Promotion 2019-2020
Sources :
- https://www.cnil.fr/fr/edf-et-engie-mises-en-demeure-pour-non-respect-de-certaines-conditions-de-recueil-du-consentement
- https://www.enedis.fr/linky-compteur-communicant
- https://www.vie-publique.fr/en-bref/273429-compteurs-linky-edf-et-engie-mis-en-demeure-par-la-cnil
