La CNIL a adressé dernièrement une mise en demeure publique à EDF et à Engie pour non respect des dispositions du RGPD en matière de collecte et de conservation des données personnelles des usagers du compteur Linky. Décrytage.
C’est une étude de cas intéressante que nous offre la décision de la CNIL quant à la protection des données personnelles des utilisateurs du compteur Linky, ce compteur « communicant » selon l’expression même de la CNIL. A savoir un compteur connecté capable d’analyser la consommation électrique d’un foyer à la demi-heure. Pratique pour mieux maitrisé sa consommation? Sans doute, mais ce compteur repose sur la collecte de données dont certaines peuvent toucher à la vie privée.
Un consentement ni spécifique, ni éclairé…
Le RGPD a posé par principe que toute collecte de données personnelles nécessite le consentement de leur titulaire. Ce consentement doit revêtir plusieurs caractéristiques. Outre qu’il doit être donné par un acte positif (par exemple en cochant une case), le consentement doit être libre, spécifique, univoque, éclairé et traçable.
Dans le cas qui nous intéresse, la CNIL, après enquête, en arrive à la conclusion que le consentement aussi bien chez EDF que chez Engie n’est ni spécifique, ni éclairé.
Un consentement spécifique est celui qui est donné pour un objectif de traitement précis. Il faut donc, en cas de pluralité d’objectifs, demander pour chacun un consentement « spécifique ». En l’espèce, une seule case est à cocher qui inclut à la fois l’analyse de la consommation à la journée, mais aussi à l’heure ou à la demi-heure. Or bien sûr les objectifs et les conséquences ne sont pas les mêmes. L’analyse détaillée à l’heure ou demi-heure (dite courbe de charge) donne des renseignements sur le foyer qui touchent à la vie privée : nombre de personnes vivant au foyer, heures de lever ou de coucher, heures de départ ou de retour, journées d’absence… C’est donc à bon droit que la CNIL considère que l’usager doit cocher une case spécifique pour exprimer un tel consentement.
La CNIL estime également que le consentement n’est pas assez éclairé, faute d’expliquer clairement à l’usager ce qui est ensuite fait des données collectées par le compteur Linky. Elle relève aussi que chez EDF, le fait de cocher l’unique case vaut également accord pour recevoir des conseils personnalisés de consommation, ce qui nécessiterait de cocher une case spécifique, puisque nous sommes en face d’une autre finalité.
… Et une durée de conservation trop longue
La durée de conservation des données personnelles collectées est fixée par la finalité de la collecte. Dès que cette finalité est atteinte, les données ne doivent plus être conservées. Or, EDF conserve les données 5 ans après la rupture du contrat d’abonnement alors même que la loi n’impose au fournisseur de mettre l’historique de consommation à la disposition du client que pendant 3 ans. La CNIL estime également que la conservation des données de consommation à l’heure ou demi-heure n’est pas nécessaire à l’historique de consommation et que donc seules les données de consommation plus globales (à la journée ou mensuelles) devraient être conservées. Chez Engie, la durée de conservation active est de 3 ans puis de 8 ans en archivage.
Le 11 février, la CNIL prononce donc à l’adresse des deux fournisseurs une mise en demeure publique et leur laisse 3 mois pour se mettre en conformité, tout en reconnaissant cependant qu’ils sont l’un et l’autre « sur une trajectoire globale de mise en conformité ».
Aujourd’hui, ce sont 22 millions de compteurs Linky installés, et un objectif de 35 millions à atteindre à fin 2021. Légalement, un usager est en droit de refuser ce type de compteur et 300 communes s’y sont opposé.
Actualisation au 18 février 2021
Ce 15 février 2021, presque un an jour pour jour après la mise en demeure d’EDF, la CNIL a mis fin à cette procédure, estimant que les modifications apportées par EDF aux conditions de consentement de la collecte des données des usagers sont désormais conformes au RGDP.
