Retour sur les mises en demeure adressées à ENGIE et EDF de se mettre en conformité avec la réglementation sur la protection des données

Les deux mises en demeure opèrent un rappel des principes essentiels que constituent tant les modalités de recueil de consentement que la définition de durées de conservation proportionnées.

L’installation de la nouvelle génération de compteurs Linky par le gestionnaire du réseau de distribution ENEDIS a pour but de permettre la transmission de données de consommation (relevés du compteur) à distance, sans que cela ne nécessite d’action de la part de l’usager. Comme l’expliquait la CNIL en 2018, ces compteurs innovants permettent "de relever des données de consommation plus fines que les compteurs traditionnels (données de consommation quotidiennes, horaires, voire à la demi-heure pour l’électricité)".

Si les données de consommation journalières sont collectées par défaut par le gestionnaire du réseau de distribution, les données de consommation horaires et à la demi-heure ne peuvent être recueillies qu’avec l’accord de l’usager ou "de manière ponctuelle, lorsqu’elles sont nécessaires à l’accomplissement des missions de service public assignées au gestionnaire du réseau par le code de l’énergie (par exemple, pour l’entretien et la maintenance du réseau ou l’intégration de énergies renouvelables)" (CNIL, 15 nov. 2012, délibération n° 2012-404).

De même, la transmission de ces données par ENEDIS aux fournisseurs d’électricité et de gaz (comme EDF et ENGIE) nécessite un consentement de la part des usagers. Le Règlement général sur la protection des données (RGPD) prévoit que le recueil du consentement doit être "libre, spécifique, éclairé et univoque" (art. 4, § 11)

La spécificité du consentement implique que la personne concernée soit en mesure de donner son consentement de façon indépendante et distincte pour chaque finalité poursuivie.

Or, les sociétés EDF et ENGIE recueillent toutes deux le consentement des usagers à la collecte de leurs données de consommation fines par le biais d’une unique case à cocher qui permet en réalité, comme le souligne la CNIL, de consentir à plusieurs opérations du même traitement :

• sur le formulaire de la société EDF, cocher l’unique case revient à accepter trois opérations distinctes du traitement, à savoir l’affichage dans l’espace client des consommations quotidiennes, l’affichage dans l’espace client des consommations à la demi-heure et l’activation de conseils personnalisés visant à permettre aux usagés de mieux maitriser leur consommation d’électricité ;
• sur le formulaire de la société ENGIE, cocher l’unique case revient à accepter deux opérations distinctes du traitement, à savoir l’affichage dans l’espace client des consommations quotidiennes et l’affichage dans l’espace client des consommations à la demi-heure.

Comme l’écrit la CNIL dans la mise en demeure d’EDF, "un usager peut souhaiter consulter l’historique de ses consommation à la journée, sans nécessairement vouloir bénéficier d’un affichage à la demi-heure ou souhaiter recevoir des conseils personnalisés de la part de son fournisseur".

S’agissant du caractère éclairé du consentement, la CNIL rappelle que les responsables de traitement doivent, préalablement à un recueil de consentement, informer les personnes concernées de "certains éléments cruciaux", tels que les finalités des traitements et les types de données collectées.

Or, la CNIL relève pour la société EDF que la mention d’information qui accompagne le consentement prête à confusion. En effet, la mention fait référence à "la consommation d’électricité quotidienne (toutes les 30 mins)" alors qu’un relevé quotidien (une fois par jour) n’équivaut pas à un relevé effectué toutes les 30 minutes, plus intrusif dans la vie privée des usagers.

De même, la société ENGIE ne permet à ses usagers de comprendre la différence dans les termes utilisés sur son formulaire de collecte d’ "index quotidien" (données de consommation journalières) et de "courbe de charge" (données de consommation à l’heure ou la demi-heure).
Les consentements recueillis par les deux sociétés ne répondent donc pas aux critères cumulatifs prévus par le RGPD. Le consentement ne peut donc être considéré comme une base légale valable au sens de l’article 6, 1 (a) du RGPD.

Les données personnelles doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (RGPD, art. 5, § 1 (e)).

Or, la société EDF conserve les consommations quotidiennes et à la demi-heure des personnes concernées en base active 5 ans après la résiliation du contrat avec le client, sans procéder à un archivage intermédiaire (qui permet la conservation restreinte des données présentant un intérêt administratif). En outre, la société ne met en place aucune procédure automatique de purge des données, ce qui accentue le risque d’une conservation inutile de données.

Pour la CNIL, ces durées sont excessives puisque les données de consommation à la demi-heure et les données de consommation quotidiennes ne sont pas nécessaires "à la facturation de l’électricité consommée, qui est mensuelle". De plus, ces données doivent être tenues à la disposition des clients pour téléchargement des historiques uniquement dans une limite de 3 ans suivant la date de recueil du consentement (en vertu de l’article D. 224-26 du code de la consommation).

La société ENGIE conserve, quant à elle, les données relatives à ses clients 3 ans en base active à compter de la résiliation du contrat (à des fins de prospection commerciale suivant les recommandations de la CNIL), puis 8 ans en archivage intermédiaire.

La CNIL estime que si les coordonnées du client peuvent être conservées en base active pendant 3 ans à l’issue de la résiliation du contrat, ce n’est pas le cas des données de consommation mensuelles qui n’ont pas vocation à être utilisées à des fins de prospection commerciale et sont nécessaires uniquement aux fins d’exécution du contrat. Leur conservation en base active pendant cette durée est donc excessive, les durées de conservation devant être ajustée à chaque finalité définie.

Bien que les deux sociétés aient défini des durées de conservation, celles-ci ne sont pas proportionnées et adaptées à chaque finalité pour lesquelles les données sont traitées, ce qui constitue un manquement à l’article 5, 1 (e) du RGPD.

Les sociétés EDF et ENGIE doivent revoir tant leurs modalités de recueil de consentement que les consentements déjà collectés, et, le cas échéant, supprimer les données recueillies en vertu de consentements invalides. Pour cela, la CNIL leur recommande d’introduire un système de recueil consentement plus granulaire : chaque finalité définie devra correspondre à une case à cocher.

Les deux fournisseurs doivent également définir et mettre en oeuvre une politique de durée de conservation des données personnelles limitée à la réalisation des finalités définies, et, le cas échéant, supprimer les données qui n’ont plus lieu d’être conservées.

Les sociétés EDF et ENGIE ont pour ce faire un délai de 3 mois, au terme duquel elles devront justifier de leur conformité à la CNIL afin de ne pas risquer le prononcé d’une sanction à leur encontre. Les conditions applicables au consentement et aux durées de conservation étant considérés comme des "principes de base d’un traitement", les sanctions qui pourraient découler de leur manquement s’élèveraient jusqu’à 2 millions d’euros, ou 4% du chiffres d’affaires annuel mondial de chaque société (RGPD, art.83, 5 (a)).

Par ailleurs, et bien que la CNIL ait noté que les deux sociétés "sont dans une trajectoire globale de mise en conformité", la publicité des mises en demeure se justifie notamment au regard du nombre élevé de personnes concernées par l’installation de ces compteurs, à savoir la totalité des usagers sur territoire français (soit 35 millions de foyers d’ici à 2021 selon les estimations d’ENEDIS).

Selon les termes de la CNIL, il est essentiel de sensibiliser les usagers afin que ceux-ci puissent maîtriser leurs données collectées par le compteur Linky. Ces données sont en effet susceptibles de révéler des informations sur leur vie privée (heures de lever et de coucher, périodes d’absence, éventuellement nombre de personnes présentes dans le logement).