Mises en demeure d’ENGIE et d’EDF par la CNIL
La Présidente de la Commission Nationale de l’Informatique et des Libertés (CNIL) a mis en demeure le 31 décembre 2019, les sociétés EDF et ENGIE en raison du non-respect de certaines des exigences relatives au recueil du consentement à la collecte des données de consommation issues des compteurs communicants LINKY, ainsi que pour une durée de conservation excessive des données de consommation.
La CNIL a constaté que les deux sociétés recueillent le consentement par le biais d’une seule case à cocher pour plusieurs traitements clairement distincts : l’affichage dans l’espace client des consommations quotidiennes et l’affichage des consommations à la demi-heure. S’agissant d’EDF, le fait de cocher la case entraîne également une troisième opération de traitement, à savoir la fourniture de conseils personnalisés visant à réduire la consommation d’énergie du foyer.
Or l’utilisateur doit être en mesure de donner son consentement pour chacun des traitements.
La CNIL estime également que les deux sociétés ne permettent pas à leurs clients de donner leur consentement en connaissance de cause en ne leur fournissant pas suffisamment d’informations sur les différents types de données collectées. En effet, EDF présente les données quotidiennes et à la demi-heure comme étant équivalentes. Quant à ENGIE, la société ne donne aucune information suffisamment précise pour comprendre la différence de portée entre la collecte des deux types de données.
Ainsi, le consentement n’est ni spécifique ni suffisamment éclairé, de sorte que les termes du consentement ne sont pas conformes aux dispositions du RGPD (article 4§11 et 6).
En ce qui concerne l’absence de définition d’une période de conservation proportionnée à la finalité du traitement, il a été constaté que les périodes fixées par les deux sociétés sont excessives par rapport aux finalités pour lesquelles les données sont traitées.
En effet, ENGIE conserve les coordonnées du client et les données nécessaires à l’exécution du contrat en base active pendant 3 ans suivant la résiliation du contrat puis les archive pendant 8 ans en archivage intermédiaire. Or, les données de consommation mensuelle ne sont pas nécessaires pour effectuer de la prospection commerciale, de sorte que leur conservation ne saurait être justifiée par cette finalité.
Par ailleurs, la conservation de ces données n’est pas non plus justifiée par leur mise à disposition dans l’espace client de l’usager car cela n’est obligatoire que pour une durée d’un an à l’issue de la résiliation du contrat.
La société EDF quant à elle, conserve les données de consommation quotidienne et à la demi-heure pendant la durée de vie du contrat puis pendant 5 ans, sans procéder à un archivage intermédiaire ni de purge automatisée. Or les données de consommation à la demi-heure ne sont pas nécessaires pour établir la facturation et n’ont dès lors pas à être conservées cinq ans après la résiliation du contrat.
Les deux sociétés disposent de trois mois à compter de la notification des décisions pour (1) obtenir valablement le consentement de leurs clients pour la collecte de données de consommation quotidienne et à la demi-heure, y compris pour les clients dont les données sont déjà enregistrées (par exemple, en cochant une case pour chaque traitement) et, à défaut, pour supprimer les données collectées et (2) définir et mettre en œuvre une politique de durée de conservation des données qui n’excède pas la durée nécessaire aux fins pour lesquelles les données sont collectées.
Pour plus de détails, veuillez consulter les liens suivants :
