Compteurs LINKY : La CNIL clôture la mise en demeure à l’encontre d’EDF

La CNIL clôture la mise en demeure à l’encontre de la société EDF le 15 février 2021[1].

Souvenez-vous : EDF avait été mise en demeure le 31 décembre 2019 pour son traitement des données de consommation d’électricité collectées dans le cadre des compteurs communicants LINKY. La CNIL avait constaté que les modalités de recueil du consentement pour la collecte des données de consommation issues des compteurs communicants LINKY étaient insuffisantes et que la durée de conservation de ces données était excessive.

Au regard des mesures prises pour se mettre en conformité, cette mise en demeure est clôturée par la CNIL.

Retour sur les manquements relevés :

La mise en demeure des sociétés EDF et ENGIE avait été motivée par le non-respect de certaines règles s’agissant de la collecte des données de consommation issues des compteurs communicants LINKY et la durée de conservation.

Sur les modalités de recueil du consentement insuffisant :

Le recueil du consentement préalable des utilisateurs était bien respecté par les sociétés EDF et ENGIE. Cependant, la CNIL a considéré que ce consentement n’était « ni spécifique ni suffisamment éclairé s’agissant des données de consommation à l’heure ou à la demi-heure ».

Un consentement spécifique correspond à un traitement pour une finalité déterminée. Or, les deux sociétés recueillaient le consentement par le biais d’une case à cocher pour deux voire trois opérations clairement distinctes. La CNIL a considéré que ce consentement était global et non spécifique.

Un consentement éclairé est accompagné d’informations claires sur la portée de l’engagement de l’utilisateur. Or, pour la société EDF « la rédaction de la mention accompagnant la case à cocher « j’accepte » était particulièrement susceptible d’induire l’abonné en erreur sur la portée de son engagement ». En ce qui concerne ENGIE, la CNIL avait constaté « qu’aucune information suffisamment précise n’était donnée, avant de recueillir le consentement » pour permettre à l’utilisateur de comprendre la différence entre les différents types de collectes réalisées par la société.

Lors de son contrôle de vérification la CNIL relève que « la première case intitulée choisir le suivi de consommation quotidien n’est pas pré-cochée et que, si la dernière case intitulée vous ne souhaitez pas activer de suivi de consommation quotidien n’est pas cochée par le client, cela équivaut à une absence de consentement pour le traitement des données journalières et infra-journalières. En l’absence de toute coche, je note qu’EDF ne collecte que les données mensuelles de consommation du client. »

Sur la durée de conservation excessive des données de consommation

À la suite du contrôle procédé par la CNIL, celle-ci avait constaté que les durées de conservation des données issues des compteurs communicants LINKY était parfois excessives au regard des finalités des traitement de données. Ce qui caractérise une violation de l’article 5 du RGPD.

La société EDF avait instauré une durée de conservation de cinq ans après résiliation du contrat pour les données de consommations quotidiennes et à la demi-heure. Or, la limite légale est de trois ans pour la mise à disposition des historiques de consommation des clients.

La société ENGIE avait instauré une durée de conservation de trois ans en base active à l’issue de la résiliation du contrat. Puis pendant une durée de huit ans en archivage intermédiaire. Pour la CNIL, cette durée de trois ans pour la conservation des données de consommation mensuelle n’est pas justifiée par rapport à la finalité du traitement.

Lors de son contrôle de vérification, la CNIL note que « les données de consommation sont conservées trois ans en base active pour les données quotidiennes et deux ans pour les données infra-quotidiennes aux fins de leur mise à disposition dans l’espace client de l’abonné, conformément aux dispositions de l’article D. 224-27 du code de la consommation. ». Elle relève que « les données relatives aux consommations mensuelles sont quant à elles conservées au maximum trois ans en base active puis quatre ans en archivage en vue de la gestion de la relation contractuelle, sauf impayé, auquel cas elles sont conservées pour toute la durée du recouvrement puis archivées pendant cinq ans dans l’éventualité d’un contentieux ».

Claudia Weber, avocat fondateur, ITLAW Avocats

Pour approfondir, découvrez le premier guide de rédaction et de négociation des Data Process Agreement, rédigé par ITLAW Avocats.

Vous avez des questions concernant la mise en conformité de vos projets informatiques ? ou de votre site internet avec le RGPD ? Ou la directive ePrivacy ?

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions. Nous trouvons les solutions adaptées à votre contexte et vos besoins.

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des données personnelles , de projets informatiques complexes de contrats, d’innovation et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes, tels que les projets e-marketing.