Un Linky brûlé 08/01/2020
11 janvier 2020
Compteur Linky : la ministre Elisabeth Borne rappelle qu’un client peut refuser son installation
16 février 2020
Un Linky brûlé 08/01/2020
11 janvier 2020
Compteur Linky : la ministre Elisabeth Borne rappelle qu’un client peut refuser son installation
16 février 2020
Show all

La CNIL reconnaît des violations du RGPD commises par Edf et Engie

Source : cnil.fr (https://www.cnil.fr/fr/edf-et-engie-mises-en-demeure-pour-non-respect-de-certaines-conditions-de-recueil-du-consentement)

Publié le 11/02/2020 sur le site officiel de la CNIL( Commission Nationale de l’Informatique et des Libertés )

la CNIL reconnaît des violations du RGPD commises par Edf et Engie à la suite de l’installation du compteur prétendument“intelligent”.

Je suis curieux de connaître la sanction finale. Peux-t’on transgresser le “Règlement Général sur la Protection des Données” ou RGPD impunément ? Je pense que pour des multinationales comme EDF ou Engie … oui.

Sachant que EDF est détenu à plus de 70% par l’état Français, c’est donc l’Etat Français qui viole le RGPD (Règlement Général sur la Protection des Données). Cela fait réfléchir …

Le compteur n’est toujours pas obligatoire pour les usagers.

Extrait de l’article parru sur le site de la CNIL cnil.fr :

EDF et ENGIE : mises en demeure pour non-respect de certaines conditions de recueil du consentement concernant les données des compteurs communicants

11 février 2020

La Présidente de la CNIL met en demeure les sociétés EDF et ENGIE en raison du non-respect de certaines des exigences relatives au recueil du consentement à la collecte des données de consommation issues des compteurs communicants LINKY, ainsi que pour une durée de conservation excessive des données de consommation.

LINKY, un dossier suivi par la CNIL : rappel des règles applicables

De manière générale, la CNIL est particulièrement vigilante sur les conditions de mise en œuvre des traitements liés aux compteurs communicants.

Les données de consommation fines peuvent révéler des informations sur la vie privée (heures de lever et de coucher, périodes d’absence, éventuellement le nombre de personnes présentes dans le logement). Il est donc essentiel que les clients puissent garder la maîtrise de leurs données.

Afin d’accompagner les professionnels en ce sens, la CNIL a publié en 2012 une recommandation précisant les conditions de collecte de la courbe de charge, qui rend compte des données de consommation fines (par exemple, à l’heure ou à la demi-heure). Elle a également adopté en 2014 un pack de conformité « compteurs communicants » détaillant de manière pratique les règles à respecter pour protéger la vie privée des personnes.

Pour mémoire, les règles applicables à la collecte des données de consommation fines diffèrent selon la précision de la donnée (données journalières ou données de consommation fines à l’heure ou à la demi-heure) et le rôle du responsable de traitement dans la chaîne énergétique (gestionnaire du réseau de distribution ou fournisseur).

  • S’agissant du gestionnaire du réseau de distribution :

Le code de l’énergie l’autorise à collecter par défaut les consommations journalières, pour permettre à l’usager de consulter gratuitement l’historique de ses consommations.

En revanche, le gestionnaire de réseau ne collecte pas les données de consommation fines (horaires et/ou à la demi-heure) de manière automatique. La collecte de ces données n’est possible qu’avec l’accord préalable de l’usager ou, de manière ponctuelle, lorsqu’elles sont nécessaires à l’accomplissement des missions de service public assignées par le code de l’énergie (par exemple, pour l’entretien et la maintenance du réseau ou l’intégration des énergies renouvelables).

Par ailleurs, le code de l’énergie prévoit que l’enregistrement des données de consommation horaires peut s’effectuer « en local », dans la mémoire du compteur LINKY, sans transmission au gestionnaire de réseau ou à un tiers.

  • S’agissant des fournisseurs (tels qu’EDF et ENGIE) :

Ils peuvent disposer des données de consommation mensuelle pour établir leur facturation. En revanche, ils ne peuvent collecter les consommations quotidiennes et horaires et/ou à la demi-heure qu’avec l’accord de l’abonné.

La transmission des données de consommation détaillée (données horaires et/ou à la demi-heure) à des sociétés tierces, notamment à des fins commerciales (par exemple, des sociétés proposant des travaux d’isolation) ne peut elle aussi intervenir qu’avec l’accord de l’abonné.

Les mises en demeure

Depuis le déploiement des compteurs communicants LINKY fin 2015, EDF et ENGIE peuvent donc, en tant que fournisseurs d’énergie, demander au gestionnaire du réseau de distribution de leur transmettre les données de leurs clients correspondant à leur consommation journalière d’électricité ainsi que les données de consommation à la demi-heure.

Ces données ne peuvent cependant être collectées qu’après que les fournisseurs d’électricité ont recueilli le consentement des personnes concernées. Par ailleurs, ce consentement doit être, conformément au règlement général sur la protection des données (RGPD), « libre, spécifique, éclairé et univoque ».

La CNIL a organisé des contrôles au sein de sociétés EDF et ENGIE afin de s’assurer de la conformité de ces dispositifs au RGPD.

Il ressort de ces contrôles qu’EDF et ENGIE sont dans une trajectoire globale de mise en conformité. Ces deux sociétés ont désigné un délégué à la protection des données et tiennent à jour un registre des traitements. Elles mettent également en œuvre des procédures afin de permettre aux personnes concernées d’exercer l’ensemble de leurs droits Informatique et Libertés (accès, opposition, effacement, etc…), notamment à l’égard de leurs données de consommation énergétique.

De même, ces sociétés ont mis en œuvre des modalités de recueil du consentement des personnes préalablement à la collecte de leurs données de consommation et ont défini des politiques de durée de conservation.

Toutefois, sur ces deux derniers points, les vérifications effectuées ont révélé que le niveau de conformité était insuffisant. Deux manquements ont ainsi pu être constatés :

  1. Des modalités de recueil du consentement insatisfaisantes s’agissant de la collecte des données de consommation issues des compteurs communicants LINKY

La CNIL a constaté que si les sociétés EDF et ENGIE recueillent effectivement un consentement auprès de leurs utilisateurs, ce consentement n’est ni spécifique ni suffisamment éclairé s’agissant des données de consommation à l’heure ou à la demi-heure.

Le RGPD impose en effet de recueillir un consentement spécifique, c’est-à-dire un consentement distinct pour chaque objectif poursuivi par la collecte des données. Or il a été constaté que EDF et ENGIE recueillent par le bais d’une seule et unique case à cocher le consentement pour deux opérations clairement distinctes : l’affichage dans l’espace client des consommations quotidiennes et l’affichage des consommations à la demi-heure. En outre, s’agissant de la société EDF, la CNIL a constaté que le fait de cocher la case entraîne également une troisième opération de traitement, à savoir la fourniture de conseils personnalisés visant à réduire la consommation d’énergie du foyer.

Un tel consentement global est contraire aux exigences du RGPD. En effet, un usager peut souhaiter consulter l’historique de ses consommations à la journée, sans pour autant vouloir transmettre à son fournisseur des données « à la demi-heure », bien plus précises sur sa vie privée. De même, il peut vouloir être informé sur sa consommation sans pour autant recevoir des conseils personnalisés de la part de son fournisseur. En conséquence, l’usager devrait pouvoir activer la collecte par son fournisseur des index journaliers, sans nécessairement devoir accepter d’activer de manière corrélée celle de la courbe de charge (à l’heure ou à la demi-heure) ou d’être démarché pour des conseils personnalisés.

Par ailleurs, le RGPD exige que le consentement soit éclairé, c’est-à-dire suffisamment informé. Or la CNIL a constaté, s’agissant d’EDF, que la rédaction de la mention accompagnant la case à cocher « j’accepte » est particulièrement susceptible d’induire l’abonné en erreur sur la portée de son engagement. En effet, la société fait référence à la « consommation d’électricité quotidienne (toutes les 30 min) » et présente donc les données quotidiennes et à la demi-heure comme étant équivalentes, alors que ces dernières sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes.

Concernant ENGIE, la CNIL a, de même, constaté qu’aucune information suffisamment précise n’était donnée, avant de recueillir le consentement, pour permettre à l’utilisateur de comprendre la différence de portée entre la collecte de « l’index quotidien » (données de consommation journalière) et la collecte de la « courbe de charge » (données de consommation fines à l’heure ou la demi-heure).

  1. Une durée de conservation excessive des données de consommation

Par ailleurs, si les sociétés EDF et ENGIE ont globalement défini des durées de conservation, les vérifications de la CNIL ont notamment révélé que ces durées de conservation sont parfois trop longues au regard des finalités pour lesquelles les données sont traitées.

S’agissant d’EDF, la société conserve en base active (base contenant les données d’utilisation courante, par exemple pour l’exécution du contrat) les consommations quotidiennes et à la demi-heure cinq ans après la résiliation du contrat. Aucune procédure d’archivage n’est par ailleurs prévue.

Tout d’abord, les données de consommation à la demi-heure ne sont pas nécessaires pour établir la facturation et n’ont dès lors pas à être conservées cinq ans après la résiliation du contrat.

Ensuite, les fournisseurs d’électricité ne sont tenus de mettre à disposition des clients leur historique de consommation que pendant une durée de trois années suivant la date de recueil du consentement (article D. 224-26 du code de la consommation).

S’agissant d’ENGIE, les contrôles ont révélé que la société conserve les données de consommation mensuelles de ses clients à l’issue de la résiliation de leur contrat pendant une durée de trois ans en base active, puis pendant une durée de huit ans en archivage intermédiaire (base contenant les données ayant encore un intérêt administratif, par exemple en cas de contentieux).

Or, si les coordonnées du client peuvent être conservées en base active pendant trois ans à l’issue de la résiliation du contrat pour que la société puisse effectuer de la prospection commerciale, les données de consommation mensuelles ne sont pas nécessaires pour cet objectif, de sorte que leur conservation ne saurait être justifiée par cette finalité.

Par ailleurs, la conservation des données de consommation mensuelles à l’issue de la résiliation du contrat n’est pas non plus justifiée par la mise à disposition de ces données dans l’espace client de l’usager dans la mesure où cette mise à disposition n’est effective que pour une durée d’un an à l’issue de la résiliation du contrat.

La présidente de la CNIL a donc estimé que la conservation de ces différentes données par les sociétés était excessive, en violation de l’article 5, paragraphe 1, e), du RGPD.

Afin de faire cesser les deux manquements précités, la CNIL a décidé de mettre en demeure les deux sociétés de se conformer au RGPD sous un délai de trois mois.

Par ailleurs, la CNIL a décidé de rendre publiques ces mises en demeure compte tenu de la nature des manquements, du nombre de personnes concernées et des caractéristiques des traitements en cause.

En effet, le recueil d’un consentement valable et le respect des dispositions du RGPD relatives aux durées de conservation sont des obligations essentielles du responsable de traitement.

La publicité de la mise en demeure apparaît également nécessaire afin de sensibiliser les clients quant aux droits dont ils disposent. La CNIL estime en effet qu’il est essentiel que les clients puissent garder la maîtrise des données de consommation fines, qui peuvent révéler des informations sur leur vie privée (heures de lever et de coucher, périodes d’absence, éventuellement le nombre de personnes présentes dans le logement).

En outre, la quantité de clients concernés est particulièrement élevée puisque 35 millions de compteurs communicants LINKY doivent être installés d’ici 2021.

Décisions Légifrance

Aucune suite ne sera donnée à ces procédures si les sociétés se conforment au RGPD dans le délai imparti. Dans ce cas, la clôture de chaque procédure sera également publique.

Si les sociétés ne se conforment pas à leur mise en demeure dans le délai imparti, la présidente de la CNIL pourra saisir la formation restreinte de la CNIL, chargée de sanctionner les manquements au RGPD, afin que, le cas échéant, soit prononcée une sanction.

> Décision n° MED 2019-035 du 10 février 2020 Décision n° MED 2019-035 du 31 décembre 2019 mettant en demeure la société ÉLECTRICITÉ DE FRANCE (EDF) > Délibération n°MEDP-2020-001 du 10 février 2020 Délibération du bureau de la Commission nationale de l’informatique et des libertés n° MEDP-2020-001 du 20 janvier 2020 décidant de rendre publique la mise en demeure n° MED 2019-035 du 31 décembre 2019 pris > Décision n°MED-2019-036 du 31 décembre 2019 Décision n° MED 2019-036 du 31 décembre 2019 mettant en demeure la société ENGIE > Délibération n°MEDP-2020-002 du 20 janvier 2020 Délibération du bureau de la Commission nationale de l’informatique et des libertés n° MEDP-2020-002 du 20 janvier 2020 décidant de rendre publique la mise en demeure n° MED 2019-036 du 31 décembre 2019 pris

Pour approfondir

> DIRECT ENERGIE : mise en demeure pour une absence de consentement concernant les données issues du compteur communicant LINKY > DIRECT ENERGIE : clôture de la mise en demeure > Linky, Gazpar : quelles données sont collectées et transmises par les compteurs communicants ? > Pack de conformité – compteurs communicants > Délibération n°2012-404 du 15 novembre 2012 Délibération n° 2012-404 du 15 novembre 2012 portant recommandation relative aux traitements des données de consommation détaillées collectées par les compteurs communicants