le 25/02/2020

EDF et ENGIE : mises en demeure pour non-respect de certaines conditions de recueil du consentement concernant les données de LINKY

CNIL, Décision n° MED 2019-035 du 31 décembre 2019 mettant en demeure la société ÉLECTRICITÉ DE FRANCE (EDF)

Décision n° MED 2019-036 du 31 décembre 2019 mettant en demeure la société ENGIE

Par deux délibérations en date du 20 janvier 2020, la commission nationale de l’informatique et des libertés a rendu public deux mises en demeure prises à l’encontre des sociétés ENGIE et EDF le 31 décembre 2019 autour de deux thématiques centrales du règlement européen sur la protection des données : la manière dont le consentement est recueilli et les durées de conservations pendant lesquelles les données sont sauvegardées.

S’agissant du consentement, la CNIL rappelle une nouvelle fois les quatre critères fondant sa licéité: la liberté du choix, sa spécificité et son caractère éclairé et non-équivoque.

Dans ses deux mises en demeure, la CNIL constate que celui-ci n’a pas été valablement obtenu puisque deux des quatre critères étaient manquants : le caractère spécifique et le caractère éclairé.

Le caractère spécifique s’entend comme le fait que tout individu, dont les données sont collectées, doit comprendre et fournir un consentement distinct pour chacun des objectifs poursuivis par la collecte des données. Sauf qu’en l’espèce la CNIL constate que « EDF et ENGIE recueillent par le bais d’une seule et unique case à cocher le consentement pour deux opérations clairement distinctes : l’affichage dans l’espace client des consommations quotidiennes et l’affichage des consommations à la demi-heure. En outre, s’agissant de la société EDF, la CNIL a constaté que le fait de cocher la case entraîne également une troisième opération de traitement, à savoir la fourniture de conseils personnalisés visant à réduire la consommation d’énergie du foyer ».

En recueillant un consentement global pour plusieurs finalités au sein des activités de traitement, la spécificité du consentement ne pouvait être valablement retenue. Le principal reproche qui est adressé ici est que l’usager n’a pas la possibilité de choisir plus finement les services qui peuvent lui être offerts, et il est dans l’obligation de les choisir en bloc.

 

Le caractère éclairé s’entend comme le fait que tout individu, pour que son consentement soit valable, doit régulièrement obtenir des informations sur la nature du traitement, ses finalités et les moyen mis en œuvre. C’est la qualité de l’information fournie qui va permettre à l’individu de fournir un consentement valable. Or, la CNIL a pu constater que :

  • s’agissant d’EDF, la rédaction de la mention accompagnant la case à cocher « j’accepte » est particulièrement susceptible d’induire l’abonné en erreur sur la portée de son engagement. En effet, la société fait référence à la « consommation d’électricité quotidienne (toutes les 30 min) » et présente donc les données quotidiennes et à la demi-heure comme étant équivalentes, alors que ces dernières sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes ;
  • s’agissant d’ENGIE, la CNIL a constaté qu’aucune information suffisamment précise n’était donnée pour permettre à l’utilisateur de comprendre la différence de portée entre la collecte de « l’index quotidien » (données de consommation journalière) et la collecte de la « courbe de charge » (données de consommation fines à l’heure ou la demi-heure).

 

Les conséquences d’un recueil de consentement non valablement obtenu est potentiellement grave, car cela prive le traitement de données à caractère personnel d’une base légale, ce qui entraine la responsabilité administrative de l’organisme et est un délit pénal.

 

S’agissant des durées de conservations, la CNIL constate que celles-ci sont trop longues au regard des finalités pour lesquelles les données sont traitées. Les trois temps du cycle de vie des données à caractère personnel sont présentés de la manière suivante :

  • la base active ;
  • l’archivage intermédiaire ;
  • l’archivage définitif.

Sur la base active, la CNIL indique que cela correspond au temps pendant lequel les données sont utiles aux différents services de la structure et doivent être conservées.

Sur la durée de l’archivage intermédiaire, la CNIL rappelle qu’il ne s’agit pas de conserver l’intégralité des données mais seulement celles qui sont indispensables ou requises par l’obligation légale.

Sur l’archivage définitif, la CNIL rappelle que certaines données et documents présentant un intérêt historique doivent effectivement pouvoir être conservées et archivées, dans les conditions fixées par le code du patrimoine.

A l’encontre d’EDF, la CNIL a constaté que l’entreprise conservait en base active les consommations quotidiennes et à la demi-heure cinq ans après la résiliation du contrat alors qu’aucune procédure d’archivage n’était par ailleurs prévue. A ce propos, la CNIL indique « Tout d’abord, les données de consommation à la demi-heure ne sont pas nécessaires pour établir la facturation et n’ont dès lors pas à être conservées cinq ans après la résiliation du contrat. Ensuite, les fournisseurs d’électricité ne sont tenus de mettre à disposition des clients leur historique de consommation que pendant une durée de trois années suivant la date de recueil du consentement (article D. 224-26 du code de la consommation) ».

A l’encontre d’ENGIE, la CNIL a constaté que les données de consommation mensuelles de ses clients étaient conservées à l’issue de la résiliation de leur contrat pendant une durée de trois ans en base active, puis pendant une durée de huit ans en archivage intermédiaire. Or, selon elle, « si les coordonnées du client peuvent être conservées en base active pendant trois ans à l’issue de la résiliation du contrat pour que la société puisse effectuer de la prospection commerciale, les données de consommation mensuelles ne sont pas nécessaires pour cet objectif, de sorte que leur conservation ne saurait être justifiée par cette finalité. Par ailleurs, la conservation des données de consommation mensuelles à l’issue de la résiliation du contrat n’est pas non plus justifiée par la mise à disposition de ces données dans l’espace client de l’usager dans la mesure où cette mise à disposition n’est effective que pour une durée d’un an à l’issue de la résiliation du contrat ».

Les conséquences d’une conservation excessive est une violation de l’article 5, paragraphe 1, e), du RGPD et peut donc entrainer la mise en jeu de la responsabilité administrative de l’organisme.

 

Face à ces deux manquements, la CNIL a décidé de laisser trois mois aux deux entreprises pour se mettre en conformité.