Mise en demeure d’EDF et ENGIE par la CNIL
Un sujet connu de la CNIL et dont les bonnes pratiques avaient déjà été décrites
Les traitements de données personnelles réalisés par les compteurs communicants sont un sujet bien connu de la CNIL car elle avait déjà produit, en mai 2014, un Guide (« Pack de conformité Compteurs Communicants ») qui détaillait les règles à respecter pour protéger les données.
L’affaire EDF et ENGIE du 11 février 2020 n’est pas sans rappeler l’affaire Direct Energie de mars 2018.
En 2018 la CNIL indiquait que le fournisseur d’énergie pouvait collecter des données consommation quotidienne sous réserve d’avoir recueilli préalablement le consentement informé de l’utilisateur. Elle illustrait déjà le principe de recueil de consentement spécifique par finalité de traitement.
La situation :
Tout d’abord, on parle de 35 millions d’usagers du compteur Linky d’ici 2021.
Pour pouvoir gérer sa consommation, un abonné peut souhaiter que des données très précises soient enregistrées par les compteurs Linky et lui soient communiquées : comme sa consommation quotidienne avec une précision horaire et/ou à la demi-heure. Or ces informations peuvent révéler des informations sur la vie privée puisqu’on peut en déduire aisément les heures de lever, de coucher, les week-ends, les périodes de vacances et le nombre de personnes dans le logement.
Dés lors, le RGPD et, déjà auparavant, la loi Informatique et Libertés, exigent que la personne consente à ce type de collecte de données.
Pour les données plus globales, le consentement n’est pas nécessaire.
Aujourd’hui la CNIL rappelle le principe de recueil de consentement informé et spécifique par finalité de traitement et elle précise la méthode de détermination les durées de conservations des données.
Précisons que ces deux principes ne datent pas du RGPD…
1er manquement : Un seul consentement était demandé pour 3 finalités différentes :
– l’affichage dans l’espace client des consommations quotidiennes ;
– l’affichage des consommations à la demi-heure ;
– la fourniture de conseils personnalisés visant à réduire la consommation d’énergie du foyer.
En conséquence, le consentement n’était pas valable et ces traitements n’avaient plus de base légale !
2nd manquement : Les données étaient conservées trop longtemps
La CNIL rappelle le principe de base : il ne faut pas conserver les données plus longtemps que cela est nécessaire à la réalisation de la finalité.
Conserver des données de consommation à la demi-heure pendant 5 ans après la résiliation du contrat et sans archivage n’a donc pas de sens.
Elle rappelle aussi que les données de contrats résiliés doivent être archivées sans excès.
Seules les données nécessaires à la prospection commerciale ou mises à disposition de l’utilisateur peuvent être conservées en base active après la résiliation du contrat mais pour une durée elle aussi limitée.
Dans cette décision, la CNIL relève les efforts de mise en conformité des entités pour ne prononcer qu’une mise en demeure de 3 mois. C’est plutôt léger pour des manquements de cette nature sur des principes presqu’anciens mais la CNIL est constructive et c’est une bonne chose