La Commission nationale de l'informatique et des libertés met en demeure les deux groupes d'énergie de respecter les exigences en matière de consentement et de durée de conservation des données de consommation des clients, issues des compteurs communicants Linky.

Les premiers compteurs Linky ont été installés fin 2015 et continuent de faire polémique depuis.
Les premiers compteurs Linky ont été installés fin 2015 et continuent de faire polémique depuis. © AFP / Garo / Phanie

C'est un coup dur pour la réputation du fameux compteur électrique "intelligent" Linky. Depuis le début de son installation fin 2015, le petit boitier vert fluo est perçu par certains comme une atteinte aux libertés individuelles.

Cette fois, c'est la Commission nationale de l'informatique et des libertés (CNIL) qui fustige la façon dont les fournisseurs, EDF et Engie, collectent et conservent les données de consommation de leurs clients. Dans un communiqué, elle exige qu'ils se conforment aux exigences du Règlement général sur la protection des données (RGPD) dans les trois mois, en les menaçant de sanctions.

Cet avertissement fait suite à des contrôles menés au sein des deux sociétés. Si la CNIL concède "une trajectoire de mise en conformité", elle pointe deux "manquements" qu'elle tenait à rendre publiques, compte tenu de la quantité "particulièrement élevée" de clients concernés (35 millions de compteurs Linky doivent être installés d'ici à 2021).

Un consentement non spécifique à l'utilisation des données

Le premier manquement porte sur le consentement à la collecte de données. La loi impose de recueillir un "consentement spécifique" : pour chaque objectif poursuivi par la collecte des données, il faudrait donner son accord. Or, EDF et Engie ne proposent qu'une seule et unique case pour accorder son consentement "pour deux opérations clairement distinctes". L'une concerne l'affichage dans l'espace client des consommations quotidiennes, l'autre celle des consommations à la demi-heure.

Pourtant, "un usager peut souhaiter consulter l'historique de ses consommations à la journée, sans pour autant vouloir transmettre à son fournisseur des données 'à la demi-heure', bien plus précises sur sa vie privée", souligne la Commission. De plus, concernant EDF, elle s'est aperçue que le client donnait par là même son accord pour une troisième utilisation de ses données, non spécifiée : "la fourniture de conseils personnalisés visant à réduire la consommation de son foyer", alors même qu'on peut vouloir suivre sa consommation, sans souhaiter être ainsi démarché.

“Susceptible d’induire l'abonné en erreur”

Autre défaut soulevé par la CNIL dans les modalités du consentement des usagers : celui-ci n'est pas suffisamment éclairé. Dans le descriptif associé à la case "j'accepte", EDF parle de "consommations quotidiennes (toutes les 30 min)". La société présente ainsi les données quotidiennes comme équivalentes aux données à la demi-heure, alors que celles-ci sont "plus révélatrices des habitudes de vie", note la Commission qui y voit un procédé "susceptible d'induire l'abonné en erreur sur la portée de son engagement".

De même pour Engie, impossible pour l'utilisateur de distinguer la collecte de "l'index quotidien" (données de consommation journalière) de celle de la "courbe de charge" (données de consommation fines, à l'heure ou la demi-heure). Pourtant, là encore, la différence est de taille selon la CNIL, puisque les données fines "peuvent révéler des informations sur leur vie privée (heures de lever et de coucher, périodes d’absence, éventuellement le nombre de personnes présentes dans le logement)".

Une conservation "excessive" et injustifiée des données

Enfin, la CNIL constate que "les durées de conservation des données sont parfois trop longues au regard des finalités pour lesquelles [elles] sont traitées". EDF conserve dans sa base dite "active" (couramment utilisée) les consommations quotidiennes et à la demi-heure, cinq ans après la résiliation du contrat. Elles ne sont pourtant pas nécessaires pour établir une facturation et rien n'oblige à les tenir à disposition des clients au-delà de trois ans.

Quant à Engie, elle conserve les données de consommation mensuelle non seulement dans sa base active pendant trois ans, mais aussi en "archivage intermédiaire" pendant huit ans. Dans les deux cas, c'est injustifié, car ces données ne doivent être disponibles dans l'espace client qu'un an après la résiliation du contrat.

Ce contenu n'est pas ouvert aux commentaires.