LINKY, un dossier suivi par la CNIL : rappel des règles applicables

De manière générale, la CNIL est particulièrement vigilante sur les conditions de mise en œuvre des traitements liés aux compteurs communicants.

Les données de consommation fines peuvent révéler des informations sur la vie privée (heures de lever et de coucher, périodes d’absence, éventuellement le nombre de personnes présentes dans le logement). Il est donc essentiel que les clients puissent garder la maîtrise de leurs données.

Afin d’accompagner les professionnels en ce sens, la CNIL a publié en 2012 une recommandation précisant les conditions de collecte de la courbe de charge, qui rend compte des données de consommation fines (par exemple, à l’heure ou à la demi-heure). Elle a également adopté en 2014 un pack de conformité « compteurs communicants » détaillant de manière pratique les règles à respecter pour protéger la vie privée des personnes.

Pour mémoire, les règles applicables à la collecte des données de consommation fines diffèrent selon la précision de la donnée (données journalières ou données de consommation fines à l’heure ou à la demi-heure) et le rôle du responsable de traitement dans la chaîne énergétique (gestionnaire du réseau de distribution ou fournisseur).

S’agissant du gestionnaire du réseau de distribution :

Le code de l’énergie l’autorise à collecter par défaut les consommations journalières, pour permettre à l’usager de consulter gratuitement l’historique de ses consommations.

En revanche, le gestionnaire de réseau ne collecte pas les données de consommation fines (horaires et/ou à la demi-heure) de manière automatique. La collecte de ces données n’est possible qu’avec l’accord préalable de l’usager ou, de manière ponctuelle, lorsqu’elles sont nécessaires à l’accomplissement des missions de service public assignées par le code de l’énergie (par exemple, pour l’entretien et la maintenance du réseau ou l’intégration des énergies renouvelables).

Par ailleurs, le code de l’énergie prévoit que l’enregistrement des données de consommation horaires peut s’effectuer « en local », dans la mémoire du compteur LINKY, sans transmission au gestionnaire de réseau ou à un tiers.

S’agissant des fournisseurs (tels qu’EDF et ENGIE) :

Ils peuvent disposer des données de consommation mensuelle pour établir leur facturation. En revanche, ils ne peuvent collecter les consommations quotidiennes et horaires et/ou à la demi-heure qu’avec l’accord de l’abonné.

La transmission des données de consommation détaillée (données horaires et/ou à la demi-heure) à des sociétés tierces, notamment à des fins commerciales (par exemple, des sociétés proposant des travaux d’isolation) ne peut elle aussi intervenir qu’avec l’accord de l’abonné.

Les mises en demeure

Depuis le déploiement des compteurs communicants LINKY fin 2015, EDF et ENGIE peuvent donc, en tant que fournisseurs d’énergie, demander au gestionnaire du réseau de distribution de leur transmettre les données de leurs clients correspondant à leur consommation journalière d’électricité ainsi que les données de consommation à la demi-heure.

Ces données ne peuvent cependant être collectées qu’après que les fournisseurs d’électricité ont recueilli le consentement des personnes concernées. Par ailleurs, ce consentement doit être, conformément au règlement général sur la protection des données (RGPD), « libre, spécifique, éclairé et univoque ».

La CNIL a organisé des contrôles au sein de sociétés EDF et ENGIE afin de s’assurer de la conformité de ces dispositifs au RGPD.

Il ressort de ces contrôles qu’EDF et ENGIE sont dans une trajectoire globale de mise en conformité. Ces deux sociétés ont désigné un délégué à la protection des données et tiennent à jour un registre des traitements. Elles mettent également en œuvre des procédures afin de permettre aux personnes concernées d’exercer l’ensemble de leurs droits Informatique et Libertés (accès, opposition, effacement, etc…), notamment à l’égard de leurs données de consommation énergétique.

De même, ces sociétés ont mis en œuvre des modalités de recueil du consentement des personnes préalablement à la collecte de leurs données de consommation et ont défini des politiques de durée de conservation.

Toutefois, sur ces deux derniers points, les vérifications effectuées ont révélé que le niveau de conformité était insuffisant. Deux manquements ont ainsi pu être constatés :

Des modalités de recueil du consentement insatisfaisantes s’agissant de la collecte des données de consommation issues des compteurs communicants LINKY

La CNIL a constaté que si les sociétés EDF et ENGIE recueillent effectivement un consentement auprès de leurs utilisateurs, ce consentement n’est ni spécifique ni suffisamment éclairé s’agissant des données de consommation à l’heure ou à la demi-heure.

Le RGPD impose en effet de recueillir un consentement spécifique, c’est-à-dire un consentement distinct pour chaque objectif poursuivi par la collecte des données. Or il a été constaté que EDF et ENGIE recueillent par le bais d’une seule et unique case à cocher le consentement pour deux opérations clairement distinctes : l’affichage dans l’espace client des consommations quotidiennes et l’affichage des consommations à la demi-heure. En outre, s’agissant de la société EDF, la CNIL a constaté que le fait de cocher la case entraîne également une troisième opération de traitement, à savoir la fourniture de conseils personnalisés visant à réduire la consommation d’énergie du foyer.

Un tel consentement global est contraire aux exigences du RGPD. En effet, un usager peut souhaiter consulter l’historique de ses consommations à la journée, sans pour autant vouloir transmettre à son fournisseur des données « à la demi-heure », bien plus précises sur sa vie privée. De même, il peut vouloir être informé sur sa consommation sans pour autant recevoir des conseils personnalisés de la part de son fournisseur. En conséquence, l’usager devrait pouvoir activer la collecte par son fournisseur des index journaliers, sans nécessairement devoir accepter d’activer de manière corrélée celle de la courbe de charge (à l’heure ou à la demi-heure) ou d’être démarché pour des conseils personnalisés.

Par ailleurs, le RGPD exige que le consentement soit éclairé, c’est-à-dire suffisamment informé. Or la CNIL a constaté, s’agissant d’EDF, que la rédaction de la mention accompagnant la case à cocher « j’accepte » est particulièrement susceptible d’induire l’abonné en erreur sur la portée de son engagement. En effet, la société fait référence à la « consommation d’électricité quotidienne (toutes les 30 min) » et présente donc les données quotidiennes et à la demi-heure comme étant équivalentes, alors que ces dernières sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes.

Concernant ENGIE, la CNIL a, de même, constaté qu’aucune information suffisamment précise n’était donnée, avant de recueillir le consentement, pour permettre à l’utilisateur de comprendre la différence de portée entre la collecte de « l’index quotidien » (données de consommation journalière) et la collecte de la « courbe de charge » (données de consommation fines à l’heure ou la demi-heure).

Une durée de conservation excessive des données de consommation

Par ailleurs, si les sociétés EDF et ENGIE ont globalement défini des durées de conservation, les vérifications de la CNIL ont notamment révélé que ces durées de conservation sont parfois trop longues au regard des finalités pour lesquelles les données sont traitées.

S’agissant d’EDF, la société conserve en base active (base contenant les données d’utilisation courante, par exemple pour l’exécution du contrat) les consommations quotidiennes et à la demi-heure cinq ans après la résiliation du contrat. Aucune procédure d’archivage n’est par ailleurs prévue.

Tout d’abord, les données de consommation à la demi-heure ne sont pas nécessaires pour établir la facturation et n’ont dès lors pas à être conservées cinq ans après la résiliation du contrat.

Ensuite, les fournisseurs d’électricité ne sont tenus de mettre à disposition des clients leur historique de consommation que pendant une durée de trois années suivant la date de recueil du consentement (article D. 224-26 du code de la consommation).

S’agissant d’ENGIE, les contrôles ont révélé que la société conserve les données de consommation mensuelles de ses clients à l’issue de la résiliation de leur contrat pendant une durée de trois ans en base active, puis pendant une durée de huit ans en archivage intermédiaire (base contenant les données ayant encore un intérêt administratif, par exemple en cas de contentieux).

Or, si les coordonnées du client peuvent être conservées en base active pendant trois ans à l’issue de la résiliation du contrat pour que la société puisse effectuer de la prospection commerciale, les données de consommation mensuelles ne sont pas nécessaires pour cet objectif, de sorte que leur conservation ne saurait être justifiée par cette finalité.

Par ailleurs, la conservation des données de consommation mensuelles à l’issue de la résiliation du contrat n’est pas non plus justifiée par la mise à disposition de ces données dans l’espace client de l’usager dans la mesure où cette mise à disposition n’est effective que pour une durée d’un an à l’issue de la résiliation du contrat.

La présidente de la CNIL a donc estimé que la conservation de ces différentes données par les sociétés était excessive, en violation de l’article 5, paragraphe 1, e), du RGPD.

Afin de faire cesser les deux manquements précités, la CNIL a décidé de mettre en demeure les deux sociétés de se conformer au RGPD sous un délai de trois mois.

Par ailleurs, la CNIL a décidé de rendre publiques ces mises en demeure compte tenu de la nature des manquements, du nombre de personnes concernées et des caractéristiques des traitements en cause.

En effet, le recueil d’un consentement valable et le respect des dispositions du RGPD relatives aux durées de conservation sont des obligations essentielles du responsable de traitement.

La publicité de la mise en demeure apparaît également nécessaire afin de sensibiliser les clients quant aux droits dont ils disposent. La CNIL estime en effet qu’il est essentiel que les clients puissent garder la maîtrise des données de consommation fines, qui peuvent révéler des informations sur leur vie privée (heures de lever et de coucher, périodes d’absence, éventuellement le nombre de personnes présentes dans le logement).

En outre, la quantité de clients concernés est particulièrement élevée puisque 35 millions de compteurs communicants LINKY doivent être installés d’ici 2021.

Aucune suite ne sera donnée à ces procédures si les sociétés se conforment au RGPD dans le délai imparti. Dans ce cas, la clôture de chaque procédure sera également publique.

Si les sociétés ne se conforment pas à leur mise en demeure dans le délai imparti, la présidente de la CNIL pourra saisir la formation restreinte de la CNIL, chargée de sanctionner les manquements au RGPD, afin que, le cas échéant, soit prononcée une sanction.