Par deux décisions du 31 décembre 2019 et du 10 février 2020, rendues publiques le 11 février dernier, la Présidente de la CNIL a mis en demeure les sociétés ENGIE et EDF, du fait du non-respect de certaines exigences relatives au recueil du consentement et d’une durée de conservation excessive des données de consommation issues des compteurs communicants « LINKY ».
La CNIL a mené deux contrôles sur place chez EDF et ENGIE, entre les mois de février et mai 2019, afin de contrôler la conformité des traitements de données personnelles mis en œuvre par ces sociétés.
La CNIL a, au cours de ces contrôles, constaté plusieurs manquements relatifs :
- D’une part, aux modalités de recueil du consentementdes abonnés pour la collecte des données de consommation desdites données ; et
- D’autre part, aux durées de conservationau regard des finalités pour lesquelles elles sont traitées.
S’agissant des modalités de recueil du consentement des personnes concernées, la CNIL a constaté que :
- En ce qui concerne EDF, une seule case à cocher permettait de recueillir le consentement de l’abonné pour trois finalités distinctes: l’affichage dans l’espace client des consommations quotidiennes, l’affichage des consommations à la demi-heure et l’affichage de conseils personnalisés pour aider les abonnés à maîtriser leur consommation d’électricité.
- En ce qui concerne ENGIE,une seule case à cocher permettait de recueillir le consentement de l’abonné pour deux finalités distinctes: l’affichage dans l’espace client des consommations quotidiennes et l’affichage des consommations à la demi-heure.
Par conséquent, estimant que le consentement des abonnés n’était ni spécifique ni éclairé, la CNIL a mis en demeure les deux sociétés de recueillir un consentement valide au sens du RGPD, « par exemple, en mettant en place une case à cocher pour chaque opération de traitement et, à défaut, supprimer lesdites données collectées ».
S’agissant des durées de conservation des données personnelles, la CNIL a constaté que :
- En ce qui concerne EDF, les données de consommations quotidiennes et à la demi-heure étaient conservées en base active jusqu’à cinq ans après la résiliation du contrat, sans qu’il soit procédé à un archivage intermédiaire.
Par ailleurs, la CNIL a relevé que les données de consommation fines (à la demi-heure) n’étaient pas nécessaires pour établir la facturation de l’électricité consommée, qui présente un caractère mensuel.
De plus, la CNIL a rappelé que l’obligation des fournisseurs d’électricité de conserver l’historique de la consommation des clients est limitée à une durée de trois ans suivant la date de recueil de leur consentement.
- En ce qui concerne ENGIE, les coordonnées du client et les données nécessaires à l’exécution du contrat (dont les données de consommation mensuelles) étaient conservées en base active jusqu’à trois ans après la résiliation du contrat, puis archivées en base intermédiaire pendant huit ans.
Or, la CNIL a relevé que la conservation des données de consommation pendant trois ans à l’issue de la résiliation du contrat ne pouvait être justifiée (i) ni par les besoins de la prospection commerciale puisque ces données n’étaient pas nécessaires à cette finalité ; (ii) ni par la mise à disposition de ces données dans l’espace client de l’abonné, puisque ces données n’étaient effectivement mises à sa disposition que pour une durée d’un an à l’issue de la résiliation du contrat.
Dans ces conditions, la CNIL a estimé que les durées de conservations des données étaient excessives et, a donc mis en demeure EDF et ENGIE de « définir et mettre en œuvre une politique de conservation des données qui n’excède pas la durée nécessaire aux finalités pour lesquelles ces données sont collectées et, au besoin, purger les données non conformes à cette politique de durée de conservation ».
La CNIL a accordé aux deux sociétés un délai de trois mois pour se mettre en conformité.
Liens des décisions :
